Atrajeron a la víctima para que descargara un paquete ISO malicioso con respecto a una falsa oferta de trabajo
Se ha encontrado una amenaza con un nexo de Corea del Norte que aprovecha una "novedosa metodología de spear phishing" que implica el uso de versiones troyanizadas del cliente PuTTY de SSH y Telnet.
La firma de inteligencia de amenazas propiedad de Google, Mandiant, atribuyó la nueva campaña a un grupo de amenazas emergentes que rastrea bajo el nombre UNC4034.
"UNC4034 estableció comunicación con la víctima a través de WhatsApp y la atrajo para que descargara un paquete ISO malicioso con respecto a una falsa oferta de trabajo que condujo a la implementación de la puerta trasera AIRDRY.V2 a través de una instancia troyana de la utilidad PuTTY", dijeron los investigadores de Mandiant.
La utilización de señuelos laborales fabricados como vía para la distribución de malware es una táctica utilizada con frecuencia por actores patrocinados por el estado de Corea del Norte, incluido el Grupo Lazarus, como parte de una campaña duradera llamada Operation Dream Job.
El punto de entrada del ataque es un archivo ISO que se hace pasar por una evaluación de Amazon como parte de una posible oportunidad laboral en el gigante tecnológico. El archivo se compartió a través de WhatApp después de establecer el contacto inicial por correo electrónico.
El archivo, por su parte, contiene un archivo de texto que contiene una dirección IP y credenciales de inicio de sesión, y una versión alterada de PuTTY que, a su vez, carga un cuentagotas llamado DAVESHELL, que implementa una variante más nueva de una puerta trasera denominada AIRDRY.
Es probable que el actor de amenazas haya convencido a la víctima para que inicie una sesión de PuTTY y use las credenciales provistas en el archivo TXT para conectarse al host remoto, activando efectivamente la infección.
AIRDRY, también conocido como BLINDINGCAN, ha sido utilizado en el pasado por piratas informáticos vinculados a Corea del Norte para atacar a contratistas y entidades de defensa de EE. UU. en Corea del Sur y Letonia.
Si bien las versiones anteriores del malware venían con casi 30 comandos para la transferencia de archivos, la administración de archivos y la ejecución de comandos, se descubrió que la última versión evita el enfoque basado en comandos a favor de los plugins que se descargan y ejecutan en la memoria.
Mandiant dijo que pudo contener el compromiso antes de que pudieran llevarse a cabo más actividades posteriores a la explotación después del despliegue del implante.
El desarrollo es otra señal más de que el uso de archivos ISO para el acceso inicial está ganando terreno entre los actores de amenazas para entregar tanto malware básico como dirigido.
El cambio también se puede atribuir a la decisión de Microsoft de deshabilitar las macros de Excel 4.0 (XLM o XL4) y Visual Basic para aplicaciones (VBA) para las aplicaciones de Office descargadas de Internet de forma predeterminada.
