Los investigadores de ESET analizaron dos variantes del framework yty: Gedit y DarkMusical. Sus ataques de espionaje apuntan a gobiernos y militares en el sur de Asia. La tarea principal del marco de malware yty es recopilar y filtrar datos.
El grupo de hackers Donot Team (también conocido como APT-C-35 o SectorE02) ha estado realizando ataques de espionaje en embajadas, instalaciones gubernamentales y militares y ministerios de relaciones exteriores durante al menos dos años. Según el análisis de los investigadores de ESET, las campañas del grupo se centraron en objetivos en Bangladesh, Sri Lanka, Pakistán y Nepal. También fueron atacadas sus instalaciones diplomáticas en Europa, Medio Oriente y América.
Apuntando a Bangladesh, Sri Lanka, Pakistán y Nepal
“Hemos estado investigando muy de cerca las actividades del equipo de Donot y hemos descubierto varias campañas”, dice Facundo Muñoz, investigador de ESET e investigador principal. "En sus ataques, los piratas informáticos confían en el malware de Windows derivado del marco de malware yty del grupo".
El objetivo principal del marco de malware yty es recopilar y filtrar datos. El marco consiste en una cadena de descargadores que finalmente descargan una puerta trasera para instalar, a través de la cual se descargan y ejecutan otros componentes de las herramientas de Donot Team. Estos incluyen recopiladores de archivos, capturadores de pantalla, registradores de teclas, shells inversos y más.
Ataques de spearphishing a instalaciones
Una mirada cercana a los datos analíticos reveló que el equipo de Donot estaba apuntando a las mismas instalaciones con correos electrónicos de phishing cada dos o cuatro meses. Los mensajes contienen documentos maliciosos de Microsoft Office adjuntos, que los atacantes utilizan para propagar su malware. Curiosamente, los correos electrónicos que los investigadores de ESET pudieron examinar no mostraban signos de suplantación de identidad. “Algunos mensajes fueron enviados por las mismas organizaciones que fueron atacadas. Es posible que los atacantes comprometieran los buzones de algunas de sus víctimas en campañas anteriores, o los servidores de correo que utilizan estas organizaciones”, dice Muñoz.
En su último artículo de blog, los investigadores de ESET analizan dos variantes del marco de malware yty: Gedit y DarkMusical. Los expertos del fabricante europeo de seguridad informática decidieron llamar a una variante DarkMusical porque los atacantes eligieron los nombres de celebridades occidentales o personajes de la película "High School Musical" para sus datos y carpetas. Este malware se usó en campañas de ataques de espionaje que también tenían como objetivo instalaciones militares en Bangladesh y Nepal.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.