La nueva familia de malware utiliza el protocolo UDP personalizado para las comunicaciones de C&C

ciber-espionaje-malware

Los investigadores de seguridad han descubierto una nueva campaña de espionaje cibernético altamente dirigida, que se cree que está asociada con un grupo de piratería detrás del troyano de puerta trasera KHRAT y se ha dirigido a organizaciones en el sudeste asiático.

Según los investigadores de Palo Alto, se descubrió que el grupo de piratas informáticos, al que denominaron RANCOR, utilizaba dos nuevas familias de malware, PLAINTEE y DDKONG, para atacar entidades políticas principalmente en Singapur y Camboya.

Sin embargo, en años anteriores, los actores de amenazas detrás del troyano KHRAT supuestamente estaban vinculados a un grupo chino de ciberespionaje, conocido como DragonOK.

Al monitorear la infraestructura de C&C asociada con el troyano KHRAT, los investigadores identificaron múltiples variantes de estas dos familias de malware, donde PLAINTEE parece ser la última arma en el arsenal del grupo que utiliza un protocolo UDP personalizado para comunicarse con su servidor remoto de comando y control.

Para entregar tanto PLAINTEE como DDKONG, los atacantes usan mensajes de phishing de lanza con diferentes vectores de infección, incluidas macros maliciosas dentro del archivo de Microsoft Office Excel, HTA Loader y DLL Loader, que incluye archivos señuelo.

ciber-espionaje-malware

“Estos señuelos contienen detalles de artículos de noticias públicas centrados principalmente en noticias y eventos políticos”, explican los investigadores. “Además, estos documentos señuelo están alojados en sitios web legítimos, incluido un sitio web del gobierno que pertenece al Gobierno de Camboya y, al menos una vez, Facebook”.

Además, PLAINTEE descarga e instala complementos adicionales desde su servidor C&C utilizando el mismo protocolo UDP personalizado que transmite datos en forma codificada.

“Estas familias hicieron uso de la comunicación de red personalizada para cargar y ejecutar varios complementos alojados por los atacantes”, dicen los investigadores. “En particular, el uso del malware PLAINTEE de un protocolo UDP personalizado es raro y vale la pena considerarlo al crear detecciones heurísticas para malware desconocido”.

Por otro lado, DDKONG ha estado en uso por el grupo de piratería desde febrero de 2017 y no tiene ningún protocolo de comunicación personalizado como PLAINTEE, aunque no está claro si un actor de amenaza o más solo usan este malware.

Según los investigadores, la carga útil final de ambas familias de malware sugiere que el propósito de ambos malware es llevar a cabo el ciberespionaje en sus objetivos políticos; en lugar de robar dinero de sus objetivos.

Dado que el grupo RANCOR se dirige principalmente a usuarios no expertos en tecnología, siempre se recomienda sospechar de cualquier documento no invitado enviado por correo electrónico y nunca hacer clic en los enlaces dentro de esos documentos a menos que se verifique adecuadamente la fuente.

Además, lo más importante es utilizar un software antivirus basado en el comportamiento que pueda detectar y bloquear dicho malware antes de que pueda infectar su dispositivo, y siempre mantenerlo actualizado a él y a otras aplicaciones.