Existen variantes recientes destinadas a robar contraseñas y cookies de navegadores

Un troyano de acceso remoto (RAT) de Windows conocido anteriormente con capacidades de robo de credenciales ha ampliado ahora su alcance para poner la mira en los usuarios de dispositivos Android para promover los motivos de espionaje del atacante.

"Los desarrolladores de LodaRAT han agregado Android como una plataforma específica", dijeron investigadores de Cisco Talos en un análisis del martes. "Se ha identificado una nueva versión de LodaRAT para Windows con capacidades mejoradas de grabación de sonido".

Se dice que Kasablanca, el grupo detrás del malware, implementó el nuevo RAT en una campaña híbrida en curso dirigida a los usuarios de Bangladesh, anotaron los investigadores.

Sigue sin estar clara la razón por la cual las organizaciones con sede en Bangladesh han sido seleccionadas específicamente para esta campaña, al igual que la identidad del actor de la amenaza.

Documentado por primera vez en mayo de 2017 por Proofpoint, Loda es un malware de AutoIt que generalmente se entrega a través de señuelos de phishing que está equipado para ejecutar una amplia gama de comandos diseñados para grabar audio, vídeo y capturar otra información confidencial, con variantes recientes destinadas a robar contraseñas y cookies de navegadores.

Las últimas versiones, denominadas Loda4Android y Loda4Windows, se parecen mucho en el sentido de que vienen con un conjunto completo de funciones de recopilación de datos que constituyen una aplicación acosadora. Sin embargo, el malware de Android también es diferente, ya que evita en particular las técnicas que suelen utilizar los troyanos bancarios, como abusar de las API de accesibilidad para registrar las actividades en pantalla.

LodaRAT permisos

Además de compartir la misma infraestructura de comando y control (C2) tanto para Android como para Windows, los ataques, que se originaron en octubre de 2020, se han dirigido a bancos y proveedores de software de voz sobre IP de nivel de operador, con pistas que apuntan al autor del malware con sede en Marruecos.

Los atacantes también hicieron una gran cantidad de trucos de ingeniería social, que van desde dominios ocultos con errores tipográficos hasta documentos RTF maliciosos incrustados en correos electrónicos que, cuando se abren, desencadenan una cadena de infección que aprovecha una vulnerabilidad de corrupción de memoria en Microsoft Office (CVE-2017-11882) para descargar la carga útil final.

LodaRAT tipos

Si bien la versión de Android del malware puede tomar fotos y capturas de pantalla, leer SMS y registros de llamadas, enviar SMS y realizar llamadas a números específicos, e interceptar mensajes SMS o llamadas telefónicas, su última versión de Windows viene con nuevos comandos que permiten el acceso remoto a la máquina de destino a través del Protocolo de escritorio remoto (RDP) y el comando "Sound" que utiliza la biblioteca de audio BASS para capturar audio desde un micrófono conectado.

"El hecho de que el grupo de amenazas haya evolucionado hacia campañas híbridas dirigidas a Windows y Android muestra un grupo que está prosperando y evolucionando", dijeron los investigadores de Cisco Talos.

"Junto con estas mejoras, el actor de amenazas se ha centrado ahora en objetivos específicos, lo que indica capacidades operativas más maduras. Como es el caso de las versiones anteriores de Loda, ambas versiones de esta nueva iteración representan una seria amenaza, ya que pueden provocar una violación de datos significativa o una gran pérdida financiera".

Comments (0)

There are no comments posted here yet

Leave your comments

  1. Posting comment as a guest.
Attachments (0 / 3)
Share Your Location


Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube

Somos apañados (ñ)
Suscribete

Más leído