Clicky

'La Máscara' resurge con un sofisticado arsenal de malware multiplataforma

La Máscara

La puerta trasera admite una amplia gama de funciones

Un actor de espionaje cibernético poco conocido conocido como La Máscara ha sido vinculado a una nueva serie de ataques dirigidos a una organización anónima en América Latina dos veces en 2019 y 2022.

"El APT Mask es un legendario actor de amenazas que ha estado realizando ataques altamente sofisticados desde al menos 2007", dijeron los investigadores de Kaspersky Georgy Kucherin y Marc Rivero en un análisis publicado la semana pasada. "Sus objetivos suelen ser organizaciones de alto perfil, como gobiernos, entidades diplomáticas e instituciones de investigación".

El actor de amenazas, también conocido como Careto, fue documentado previamente por la empresa de ciberseguridad rusa hace más de una década, en febrero de 2014 [PDF], por haber atacado a más de 380 víctimas únicas desde 2007. Actualmente se desconocen los orígenes del grupo de piratas informáticos.

El acceso inicial a las redes de destino se facilita mediante correos electrónicos de phishing que incorporan enlaces a un sitio web malicioso que están diseñados para activar exploits de día cero basados ​​en el navegador para infectar al visitante (por ejemplo, CVE-2012-0773), después de lo cual se lo redirige a sitios benignos como YouTube o un portal de noticias.

También hay alguna evidencia que sugiere que los actores de amenazas han desarrollado un arsenal de malware integral capaz de atacar Windows, macOS, Android e iOS.

Kaspersky dijo que identificó a The Mask apuntando a una organización latinoamericana en 2022, utilizando un método aún no determinado para obtener un punto de apoyo y mantener la persistencia mediante el uso de un componente de correo web de MDaemon llamado WorldClient.

"El método de persistencia utilizado por el actor de amenazas se basó en WorldClient, que permite la carga de extensiones que manejan solicitudes HTTP personalizadas de los clientes al servidor de correo electrónico", dijeron los investigadores.

Se dice que el actor de la amenaza compiló su propia extensión y la configuró agregando entradas maliciosas en el archivo WorldClient.ini especificando la ruta a la DLL de la extensión.

La falsa extensión está diseñada para ejecutar comandos que permiten el reconocimiento, las interacciones del sistema de archivos y la ejecución de cargas útiles adicionales. En el ataque de 2022, el adversario utilizó este método para propagarse a otras computadoras dentro de la red de la organización y lanzar un implante denominado FakeHMP ("hmpalert.dll").

Esto se logra por medio de un controlador legítimo del software HitmanPro Alert ("hmpalert.sys") aprovechando el hecho de que no puede verificar la legitimidad de las DLL que carga, lo que hace posible inyectar el malware en procesos privilegiados durante el inicio del sistema.

La puerta trasera admite una amplia gama de funciones para acceder a archivos, registrar pulsaciones de teclas e implementar más malware en el host comprometido. Algunas de las otras herramientas entregadas a los sistemas comprometidos incluían una grabadora de micrófono y un ladrón de archivos.

La investigación de la empresa de ciberseguridad descubrió además que la misma organización había sido objeto de un ataque anterior en 2019 que involucró el uso de dos marcos de malware con nombres en código Careto2 y Goreto.

Careto2 es una versión actualizada del marco modular observado entre 2007 y 2013 que aprovecha varios complementos para tomar capturas de pantalla, monitorear modificaciones de archivos en carpetas específicas y exfiltrar datos a un almacenamiento de Microsoft OneDrive controlado por el atacante.

Goreto, por otro lado, es un conjunto de herramientas basado en Golang que se conecta periódicamente a un almacenamiento de Google Drive para recuperar comandos y ejecutarlos en la máquina. Esto incluye cargar y descargar archivos, obtener y ejecutar cargas útiles desde Google Drive y ejecutar un comando de shell específico. Además, Goreto incorpora funciones para capturar pulsaciones de teclas y capturas de pantalla.

Pero eso no es todo. También se ha detectado que a principios de 2024 los actores de amenazas utilizaron el controlador "hmpalert.sys" para infectar el equipo de una persona u organización no identificada.

"Careto es capaz de inventar técnicas de infección extraordinarias, como la persistencia a través del servidor de correo electrónico MDaemon o la carga de implantes a través del controlador HitmanPro Alert, así como desarrollar malware complejo de múltiples componentes", afirmó Kaspersky.

Jesus_Caceres