Malware disfrazado de herramienta de seguridad está atacando hackers pro-ucranianos

¿Eres un simpatizante ucraniano que está buscando atacar cibernéticamente a Rusia? Debes tener mucho cuidado. Un malware disfrazado de herramienta de hacking pro-Ucrania hará todo lo contrario a lo que piensas. Te atacará a tí. 

En un aviso publicado el miércoles, Cisco Talos describió una campaña en la que observaron que un actor de amenazas ofrecía una supuesta herramienta de denegación de servicio distribuido (DDoS) en Telegram. Según  el ofrecimiento, la supuesta herramienta está destinada a atacar sitios web rusos.

Según los investigadores, en realidad, el archivo es el ladrón de información Phoenix que busca credenciales e información de criptomonedas.

Phoenix es un registrador de teclas (keylogger) que surgió a mediados de 2019 y que, en cuestión de meses, se convirtió en un ladrón de información en toda regla con potentes módulos anti-detección y anti-análisis.

Los investigadores compartieron uno de esos comentarios de Telegram, que puedes observar a continuación:

“¡Nos complace recordarte sobre el software que usamos para atacar sitios rusos!”, afirma el persuasivo mensaje, esperando infectar a usuarios desprevenidos. El objetivo es claro: obtener información de las criptomonedas almacenadas en billeteras y MetaMask. Metamask es un software de criptomonedas comúnmente asociado con tokens no fungibles (NFT).

La guerra cibernética genera muchos peligros a los hackers novatos

El malware vestido con piel de oveja es solo una amenaza más en el panorama de las amenazas cibernéticas. Este panorama ha estado experimentando cambios sísmicos antes y durante la invasión rusa a Ucrania. La crisis ha traído nuevas amenazas y una afluencia de actores “de diferentes habilidades”. 

Por ejemplo, la guerra cibernética ha implicado que los secretos de la banda de ransomware Conti sean revelados (incluido un descifrador y el código deTrickBot ) por un miembro pro-ucraniano. Además, furiosas campañas de phishing fueron lanzadas contra Ucrania y aquellos que ayudan a los refugiados ucranianos. También, surgió el novedoso troyano FoxBlade y observamos ataques  DDoS contra el ejército y la economía de Ucrania. Pero eso no es todo: también hemos sido testigos de campañas que utilizan múltiples herramientas destructivas de datos,  entre muchas otras acciones, como el papel activo de Anonymous. 

“Muchos de estos cambios han sido provocados por el aumento de los ataques que subcontratan a personas simpatizantes en Internet, lo que genera sus propios desafíos y amenazas únicas”. Esta afirmación de Cisco es una clara referencia a un tweet que exhortaba a las personas a unirse a un ejército informático para luchar en el frente cibernético.

We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.

— Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022

Los soldados en el frente reciben disparos, por supuesto, y los soldados en el frente cibernético corren el riesgo de ser arrestados. Después de todo, no importa cuán noble sea la causa del hacking, aún es potencialmente ilegal, señaló Cisco.

Herramienta ‘legítima’ para realizar ataques DDoS

El malware en el mensaje de Telegram se menciona como un archivo .ZIP llamado “Disbalancer”. De hecho, hay un grupo llamado “disBalancer” que está distribuyendo la herramienta “legítima” para ataque DDoS llamada, irónicamente, Liberator. La  herramienta es utilizada para librar una guerra cibernética contra los “sitios web de propaganda rusa”.

Una mirada rápida al sitio web de disBalancer muestra que el actor usa un lenguaje similar al del mensaje malicioso en Telegram… y promete atacar a sitios rusos con el objetivo declarado de ayudar a ‘liberar’ a Ucrania. 

A continuación puedes ver una captura de pantalla del sitio web de Disbalancer Liberator. Tal como señaló Cisco, hay un error tipográfico en el nombre del grupo, que se traduce como “disBalancher”.

Existe una herramienta, Disbalancer.exe, que está destinada sinceramente a realizar ataques DDoS contra Rusia. La campaña del malware, por otro lado, se basa en un instalador disfrazado de esa herramienta. Está protegido con ASProtect, un conocido empaquetador de ejecutables de Windows.

“Si un investigador intenta depurar la ejecución del malware, se enfrentará a un error general. El malware, después de realizar las comprobaciones anti-depuración, ejecuta Regsvcs.exe, que viene junto con el framework .NET”. En este caso,regsvcs.exe no se usa como un binario living off the land (LoLBin). Se inyecta con el código malicioso, que consiste en el ladrón de información Phoenix”.

Hackers expertos

Los actores detrás de esta campaña no son los novatos que acuden al frente. Más bien, la evidencia muestra que han estado distribuyendo ladrones de información desde al menos noviembre. Esto se puede asegurar por el hecho de que el ladrón de información exfiltra la información robada a una dirección IP remota, en este caso, una IP rusa – 95[.]142.46. 35 – en el puerto 6666.

Ese par IP/puerto ha estado distribuyendo ladrones de información desde al menos noviembre de 2021. La longevidad de la pareja refuerza la creencia de los investigadores de que estos son hackers expertos, que se aprovechan de la calamidad de Ucrania, en lugar de atacantes nuevos. 

El ladrón de información está absorbiendo una amplia gama de información. El archivo .ZIP proporcionado en el canal de Telegram contiene un ejecutable, que es el ladrón de información. El malware recopila información de una variedad de fuentes, incluidos navegadores web como Firefox y Chrome y otras ubicaciones en el sistema de archivos para obtener información clave.

Los investigadores proporcionaron una captura de pantalla desofuscada, que muestra cómo se envía la información robada con una codificación base64 simple. La captura de pantalla muestra la amplitud de la información que se extrae de los sistemas infectados, incluida una gran cantidad de billeteras de criptomonedas e información sobre MetaMask. Para completar el ataque, el malware envía un archivo .ZIP con los datos robados a un servidor.

Debes tener cuidado con lo que te prometen

Este malware que se hace pasar por una herramienta DDoS para atacar objetivos rusos es solo un ejemplo de las muchas formas en que los ciberdelincuentes están aprovechando la invasión para obtener sustento de la ingeniería social, engañando a simpatizantes de ambos lados. Tal actividad toma la forma de señuelos de correo electrónico temáticos de noticias, solicitudes de donación o enlaces maliciosos. Estos señuelos afirman albergar fondos de ayuda o sitios de apoyo a refugiados. Sin embargo, estos conducen a malware disfrazado de herramientas defensivas u ofensivas de seguridad, y más. 

En este caso, los ciberdelincuentes estaban distribuyendo un ladrón de información en una campaña aparentemente motivada por ganancias. Sin embargo, podría haber sido peor.  Bien podría haber sido fácilmente un atacante más sofisticado patrocinado por el estado o un grupo de corsarios que trabajara en nombre de un estado-nación“.

Debemos esperar que este tipo de explotación situacional continúe y se diversifique. El interés global en el conflicto crea un grupo de víctimas potenciales masivo para los ciberdelincuentes y también contribuye a un número creciente de personas interesadas en llevar a cabo sus propias operaciones cibernéticas ofensivas. 

Cisco recordó a los usuarios que esencialmente es necesario evitar comer alimentos que se hayan caído al suelo. En otras palabras, debes tener cuidado con la instalación de software “cuyos orígenes se desconocen, especialmente el software que se coloca en salas de chat aleatorias en Internet”.

Como siempre, tienes que inspeccionar cuidadosamente los correos electrónicos sospechosos antes de abrir los archivos adjuntos, y revisar el software u otros archivos antes de descargarlos.