«Vicious Panda»: una campaña de malware que utiliza el Coronavirus como vector de infección

Como cada vez que existe una noticia de interés mundial, esta es usada por los ciberdelincuentes como cebo para inducir a sus víctimas a clickar en los enlaces que sirven como vectores de infección del malware. En este caso, como ya podéis deducir, el cebo ha sido Coronavirus.
El equipo de investigación de Check Point hizo público el hallazgo y lo ha bautizado como «Vicious Panda» y está especialmente dirigido al sector público Mongol. El grupo al que se le ha vinculado el ataque, según indicaciones de Check Point parece tratarse de un grupo chino relacionado con ataques a países como Ucrania, Rusia y Bielorrusia desde 2016.
La investigación comenzó con el análisis de dos ficheros RTF (Rich Text Format), un formato de archivo de texto utilizado por productos de Microsoft. Una vez la víctima abre el documento de texto se ejecuta un troyano de acceso remoto (RAT) personalizado y no visto antes que hace capturas de pantalla del dispositivo, accede al árbol de directorios y permite la descarga de ficheros, entre otros.
Los ficheros RTF fueron creados con la herramienta RoyalRoad, vinculado su uso a grupos chinos, que está diseñada para incluir los payloads que causan la infección dentro de ficheros RTF. Las vulnerabilidades que se nutren de este fallo no son conocidas y están relacionadas con el editor de ecuaciones del software Microsoft Word.
Una vez se abre el fichero RTF y la vulnerabilidad es explotada con éxito, se introduce el fichero ‘intel.wll’ en la carpeta de inicio de Microsoft Word ‘% APPDATA% \ Microsoft \ Word \ STARTUP’, permitiendo no solo la persistencia del malware sino también el reintento del proceso completo de infección en caso de que se cortase.
El archivo, ‘intel.wll’, descarga un archivo DLL, que actúa como descargador del malware, y que también se comunica con el servidor de comando y control (C&C) de los atacantes.
Como ocurre con otros malware el servidor C&C no responde 24×7 sino que tiene una ventana de tiempo en la que acepta peticiones. Este tipo de medidas son introducidas por los atacantes para dificultar el análisis.

Por último, y después de recibir la orden correcta el servidor de control, descarga el malware y descifra el módulo RAT que es cargado en memoria, tratándose también en este caso de una DLL.

Fuente: UnaAlDia

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?     ...
Leer más

Cada vez más empresas pagan rescates tras ciberataques impulsados por IA

Imagen
  Cada vez más empresas están pagando rescates a ciberdelincuentes después de sufrir ciberataques, ya que los atacantes están utilizando   inteligencia artificial (IA)   para lanzar campañas de ransomware cada vez más sofisticadas y dirigidas. Un   estudio reciente   de la consultora de ciberseguridad   S-RM   junto con la firma de asesoría   FGS Global   indica que   el 24,3% de las empresas que sufrieron ataques en 2025 pagaron un rescate , frente al   14,4% en 2024   y   16,4% en 2023 . Este aumento revierte una tendencia de dos años de descenso, aunque todavía se sitúa por debajo del   27,6% registrado en 2022 . Los sectores industrial y manufacturero parecen ser especialmente vulnerables. En estos entornos, los ataques de ransomware pueden provocar   interrupciones operativas graves , lo que incrementa la presión para pagar con rapidez con el fin de restaurar los sistemas y reanudar la producción. Entre las ...
Leer más

7 tips para detectar apps móviles falsas

Imagen
  Estos son los 7 consejos que debes tener en cuenta para mantenerte alejado de amenazas para dispositivos móviles: cómo identificar una app maliciosa y qué hacer si ya instalaste una. Recién descargas un juego móvil, una billetera de criptomonedas, o una app de fitness… Pero algo no está bien: la pantalla de tu teléfono es invadida por publicidades molestas, la aplicación no está haciendo lo que esperabas, y, en casos extremos, tu cuenta bancaria tiene movimientos no autorizados. En estos casos, son altas las probabilidades de que la app descargada esté en la búsqueda de tu dinero o tu información sensible. Por la cantidad de información a la que accedemos desde nuestros smartphones, no sorprende por qué los cibercriminales están con un ojo encima de los dispositivos, y siembran grandes cantidades de amenazas, especialmente en tiendas de app de terceros, o no oficiales. Según un   reciente reporte de Google , en 2025 se banearon más de 80.000 cuentas de desarrolladores malici...
Leer más