Investigadores de ciberseguridad han descubierto una nueva variante de un conocido malware llamado LOTUSLITE distribuido a través de temas relacionados con el sector bancario indio.
«La puerta trasera se comunica con un servidor de comando y control dinámico basado en DNS a través de HTTPS y admite acceso remoto a shell, manipulación de archivos y gestión de sesiones, lo que indica un conjunto continuo de capacidades centradas en el espionaje en lugar de fines financieros», escribieron los investigadores de Acronis Subhajeet Sinha y Santiago Pontiroli en su análisis.
El uso de LOTUSLITE se ha observado anteriormente en ataques de phishing dirigidos al gobierno de EE. UU. y a actores políticos utilizando señuelos relacionados con acontecimientos geopolíticos entre EE. UU. y Venezuela. Se cree, con un nivel de confianza medio, que esta actividad proviene del grupo de estados-nación chino al que se conoce como Mustang Panda.
La última actividad reportada por Acronis implica la implementación de una versión evolucionada de LOTUSLITE, que muestra «mejoras incrementales» con respecto a versiones anteriores, lo que indica que sus operadores mantienen y mejoran activamente el malware.
El alejamiento de oleadas de ataques anteriores está relacionado con una reorientación geográfica, centrándose principalmente en el sector bancario de la India, manteniendo al mismo tiempo el resto del plan operativo prácticamente intacto. El punto de partida del ataque es un archivo HTML compilado (CHM) con una carga útil maliciosa incorporada (un ejecutable legítimo y una DLL maliciosa) y una página HTML con una ventana emergente que solicita al usuario que haga clic en «Sí».
Este paso está diseñado para recuperar y ejecutar silenciosamente malware JavaScript desde un servidor remoto (‘cosmosmusic(.)com’), cuya función principal es extraer y ejecutar el malware contenido en el archivo CHM mediante la descarga de DLL. La DLL (‘dnx.onecore.dll’) es una versión actualizada de LOTUSLITE que se comunica con el dominio ‘editor.gleeze(.)com’ para recibir comandos y extraer los datos deseados.
Un análisis más detallado de esta campaña reveló artefactos similares diseñados para atacar a organizaciones surcoreanas, específicamente a individuos dentro de la comunidad política y diplomática.
«Creemos que este grupo se centró en organizaciones específicas dentro de las comunidades de política exterior de Corea del Sur y Estados Unidos, particularmente aquellas involucradas en cuestiones de la Península de Corea, las discusiones sobre políticas de Corea del Norte y el diálogo de seguridad del Indo-Pacífico», dijo Acronis.
«Lo que destaca es que los objetivos del grupo se han extendido desde agencias gubernamentales de EE.UU. con señuelos geopolíticos, hasta el sector bancario indio a través de implantes con referencias al HDFC Bank y ventanas emergentes disfrazadas de software bancario legítimo, y ahora a círculos políticos de Corea del Sur y EE.UU. haciéndose pasar por figuras prominentes de la diplomacia de la Península de Corea a través de cuentas de Gmail falsificadas y montaje de Google Drive».
Source link
