El grupo de ciberdelincuentes LuckyMouse regresa con un certificado legítimo para firmar malware
Ampliar

El grupo de ciberdelincuentes LuckyMouse regresa con un certificado legítimo para firmar malware

domingo 16 de septiembre de 2018, 14:30h

google+

linkedin

Comentar

WhastApp

El grupo de ciberdelincuentes de habla china ha regresado al panorama de la ciberseguridad para realizar acciones de ciberespionaje respaldados por un gobierno.

El equipo de Investigación y Análisis Global de la firma de ciberseguridad Kaspersky Lab (GReAT) ha descubierto varias infecciones de un troyano desconocido que relacionan con LuckyMouse, un famoso actor de amenazas de habla china conocido por sus ciberataques dirigidos a grandes objetivos de todo el mundo.

La actividad del grupo presenta “un peligro para regiones enteras"

Particularmente, este malware destaca por su controlador, cuidadosamente seleccionado, que va firmado con un certificado digital legítimo emitido por una empresa que desarrolla software relacionado con la seguridad de la información.

Según el informe del GReAT, la actividad del grupo presenta “un peligro para regiones enteras, incluidas las zonas de Asia sudoriental y central, y sus ataques parecen responder a una agenda política”. Teniendo en cuenta los perfiles de las víctimas y los vectores de ataques previos del grupo, la firma de ciberseguridad cree que el troyano detectado podría haberse usado para llevar a cabo ciberespionaje con el respaldo de un gobierno.

El controlador, la principal clave del ciberataque

El troyano empleado infecta el equipo objetivo a través de un controlador creado por los actores de la amenaza, de este modo, los ciberdelincuentes pueden ejecutar todas las tareas comunes, como la ejecución de comandos, la descarga y carga de archivos o la intercepción de tráfico de la red.

"Cuando una nueva campaña de LuckyMouse hace su aparición, casi siempre coincide con el inicio de un evento político de alto perfil"

Lo más destacado de esta campaña es el controlador, y es que para hacerlo creíble, el grupo, aparentemente, robó un certificado digital que pertenece a un desarrollador de software relacionado con la seguridad de la información y que se usa para la firma de muestras de malware. Con esto, LuckyMouse consigue evitar que las soluciones de seguridad lo detecten, ya que una firma legítima hace que el malware parezca un software legal.

Además, pese a la habilidad del grupo para crear su propio software malicioso, el empleado en este ataque es “una combinación de código público disponible en diversos repositorios y de malware personalizado”. Esta técnica que utiliza un código de terceros listo para usar ahorra tiempo a los desarrolladores y dificulta la adjudicación a un grupo de ciberdelincuentes concreto.

"Cuando una nueva campaña de LuckyMouse hace su aparición, casi siempre coincide con el inicio de un evento político de alto perfil y, por lo general, el momento del ataque precede a las cumbres de los líderes mundiales. El actor no está demasiado preocupado por la atribución, ya que ahora están implementando muestras de código de terceros en sus programas, y no les lleva mucho tiempo agregar otra capa a sus “droppers” o desarrollar una modificación para el malware, y aun así, permanecer sin ser rastreado”, explica el analista de seguridad de Kaspersky Lab, Denis Legezo

¿Te ha parecido interesante esta noticia?    Si (0)    No(0)


Normas de uso

Esta es la opinión de los internautas, no de Zonamovilidad.es

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.