Se observó que un grupo de piratas informáticos iraní conocido como MuddyWater aprovechaba una nueva puerta trasera llamada UDPGangster que utiliza el Protocolo de datagramas de usuario (UDP) para fines de comando y control (C2).
Según un informe de Fortinet FortiGuard Labs, la campaña de ciberespionaje se dirigió a usuarios en Türkiye, Israel y Azerbaiyán.
«Este malware permite el control remoto de sistemas comprometidos al permitir a los atacantes ejecutar comandos, extraer archivos y desplegar cargas útiles adicionales. Todas estas comunicaciones se producen a través de canales UDP diseñados para evadir las defensas tradicionales de la red», dijo la investigadora de seguridad Cara Lin.
Esta cadena de ataque implica una táctica de phishing que distribuye un documento de Microsoft Word con trampa explosiva que desencadena la ejecución de una carga útil maliciosa cuando se habilita una macro. Algunos de los mensajes de phishing se hacen pasar por el Ministerio de Asuntos Exteriores de la República Turca del Norte de Chipre y tienen como objetivo invitar a los destinatarios a un seminario web titulado «Elecciones presidenciales y sus resultados».
El correo electrónico incluye un archivo ZIP («seminer.zip») y un documento de Word («seminer.doc») adjunto. El archivo ZIP también contiene el mismo archivo de Word que, cuando se abre, solicita al usuario que habilite macros que ejecutan en secreto código VBA incrustado.
El script VBA en el archivo dropper tiene la capacidad de ocultar cualquier signo de actividad maliciosa al mostrar imágenes señuelo en hebreo del proveedor de telecomunicaciones israelí Bezeq con respecto al período de desconexión esperado para la primera semana de noviembre de 2025 en varias ciudades del país.
«Esta macro se ejecuta automáticamente utilizando el evento Document_Open() para decodificar datos codificados en Base64 desde un campo de formulario oculto (UserForm1.bodf90.Text) y escribe el contenido decodificado en C:\Users\Public\ui.txt», explicó Lin. «Luego ejecute este archivo usando la API CreateProcessA de Windows para iniciar la carga útil UDPGangster».
UDPGangster establece persistencia a través de modificaciones del registro de Windows y cuenta con varias comprobaciones antianálisis para resistir los esfuerzos de demolición por parte de los investigadores de seguridad. Esto incluye –
Determinar si se está depurando un proceso Analizar la configuración de la CPU de una zona de pruebas o una máquina virtual Determinar si el sistema tiene menos de 2048 MB de RAM Obtener información del adaptador de red y verificar si el prefijo de la dirección MAC coincide con una lista de proveedores de máquinas virtuales conocidos Verificar si la computadora es parte del grupo de trabajo predeterminado de Windows en lugar de un dominio unido VBoxService.exe, VBoxTray.exe, vmware.exe y vmtoolsd.exe Ejecutar un análisis del registro en busca de coincidencias con ID de proveedores de virtualización conocidos, como VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE y Xen. Busque herramientas de depuración o sandboxing conocidas para ver si el archivo se está ejecutando en un entorno de análisis.
Solo después de que se cumplen estas comprobaciones, UDPGangster comienza a recopilar información del sistema, se conecta a un servidor externo (‘157.20.182(.)75’) a través del puerto UDP 1269 para extraer los datos recopilados, ejecuta comandos usando ‘cmd.exe’, envía archivos, actualiza el servidor C2 y suelta cargas útiles adicionales para su ejecución.
«UDPGangster utiliza un cuentagotas basado en macros para el acceso inicial e incorpora extensas rutinas antianálisis para evadir la detección», dijo Lin. «Los usuarios y las organizaciones deben tener cuidado con los documentos no solicitados, especialmente aquellos que solicitan activación de macros».
Este desarrollo se produce días después de que ESET informara que los atacantes distribuyeron otra puerta trasera llamada MuddyViper en ataques en los sectores académico, de ingeniería, de gobierno local, de fabricación, de tecnología, de transporte y de servicios públicos de Israel.
Source link
