Llegamos a ustedes gracias a:



Alertas de Seguridad

Scarcruft: Actor de amenaza evoluciona

Y crea malware para identificar dispositivos Bluetooth conectados

[23/05/2019] Investigadores de Kaspersky Lab que rastrean la actividad de ScarCruft, un agente de amenazas en lengua coreana, han descubierto que ese grupo está probando y creando nuevas herramientas y técnicas, así como ampliando el alcance y el volumen de la información obtenida de sus víctimas. Entre otras cosas, el grupo ha creado un código que puede identificar los dispositivos Bluetooth conectados.

"Se cree que la amenaza persistente avanzada (APT, por sus siglas en inglés) ScarCruft está patrocinada por un estado y ataca generalmente a entidades gubernamentales y empresas con vínculos en la península de Corea, aparentemente en busca de información de interés político. En la actividad más reciente observada por Kaspersky Lab, hay indicios de que el agente de amenazas está evolucionando, probando nuevos ataques, desarrollando interés en los datos de dispositivos móviles y mostrando ingenio para adaptar herramientas y servicios legítimos a sus operaciones de ciberespionaje, comentó Seongsu Park, investigador principal de seguridad, Equipo Global de Análisis e Investigación, Kaspersky Lab.

El especialista añadió que los ataques del grupo comienzan, al igual que los de muchas otras APT, con spear-phishing o comprometiendo un sitio web estratégico -lo que se conoce también como ataques de "abrevadero-, aprovechando una vulnerabilidad u otros trucos para infectar a ciertos visitantes.

"En el caso de ScarCruft, a esto le sigue la primera etapa de una infección que es capaz de eludir el UAC o control de cuentas del usuario de Windows, lo que le permite ejecutar la siguiente carga con privilegios más altos utilizando un código que se implementa normalmente en las organizaciones para realizar pruebas legítimas de penetración. Para evadir la detección a nivel de red, el malware utiliza la esteganografía y oculta así el código malicioso en un archivo de imagen. La etapa final de la infección implica la instalación de una backdoor (puerta trasera) conocida como ROKRAT que se basa en servicios en la nube. Esta puerta trasera recopila una amplia gama de información obtenida de los sistemas y dispositivos de las víctimas, y puede reenviarla a cuatro servicios en la nube: Box, Dropbox, pCloud y Yandex.Disk, indicó Park.

Los investigadores de Kaspersky Lab descubrieron el interés de este APT por el robo de datos de dispositivos móviles, así como malware que identifica dispositivos Bluetooth que utilizan la API Bluetooth en Windows.

"Según los datos de telemetría, las víctimas de esta campaña incluyen compañías de inversiones y comercio en Vietnam y Rusia que pueden tener vínculos con Corea del Norte y entidades diplomáticas en Hong Kong y Corea del Norte. Se descubrió que una de las víctimas infectada por ScarCruft en Rusia también había sido atacada previamente por el grupo DarkHotel de lengua coreana, finalizó Park.