Se encontró un grupo de piratas informáticos que utiliza un antiguo logotipo de Windows para ayudar a distribuir malware a objetivos gubernamentales.
Como informa The Register(Se abre en una nueva ventana), el grupo de espionaje Witchetty (también conocido como LookingFrog) utiliza una variedad de herramientas para atacar a gobiernos, misiones diplomáticas, organizaciones benéficas y organizaciones industriales/fabricantes. Recientemente, el Threat Hunter Team de Symantec descubrió(Se abre en una nueva ventana) el grupo había comenzado a emplear una técnica de esteganografía nueva y «rara vez vista», que oculta código malicioso dentro de una imagen.
La imagen utilizada por Witchetty es un mapa de bits de un antiguo logotipo de Windows, y el código malicioso que contiene es un troyano de puerta trasera (Backdoor.Stegmap) capaz de ejecutar una variedad de comandos del sistema. Al disfrazar la carga útil maliciosa como una imagen, es posible ocultarla a simple vista en un servicio gratuito y de confianza mientras se evita la detección como una amenaza a la seguridad. En este caso, Witchetty alojó el mapa de bits en GitHub.
Aparentemente, la imagen se descarga de GitHub después de que un objetivo se haya visto comprometido. Una vez almacenada dentro de la red atacada, la carga útil se puede desempaquetar («descifrar con una clave XOR») y usarse para una mayor infiltración del sistema. Un ataque exitoso le permite a Witchetty «instalar shells web en servidores públicos». Después de eso, pueden robar credenciales y comenzar a instalar otras piezas de malware dentro de la red de una organización.
Recomendado por Nuestros Editores
Symantec dice que el último conjunto de herramientas de Witchetty, incluida esta técnica de esteganografía, ya se ha utilizado en dos agencias gubernamentales en el Medio Oriente y una bolsa de valores en África. Symantec considera que el grupo es un actor de amenazas capaz que ha «demostrado la capacidad de refinar y actualizar continuamente su conjunto de herramientas para comprometer los objetivos de interés».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.