DropBook Backdoor
DropBook Backdoor es una de las dos amenazas de puerta trasera que se aprovechan contra figuras políticas de alto rango y funcionarios gubernamentales en Egipto, los Territorios Palestinos, Turquía y los Emiratos Árabes Unidos por parte de los piratas informáticos de MoleRats APT (Advanced Persistent Threat). En funcionamiento desde al menos 2012, MoleRats ha mostrado un interés duradero en las regiones de Medio Oriente y África del Norte. Los piratas informáticos suelen desplegar correos electrónicos de phishing que utilizan documentos que discuten eventos importantes en las regiones seleccionadas como un señuelo para engañar a los usuarios para que descarguen un archivo comprometido.
DropBook Backdoor es una amenaza basada en Python compilada con el uso de PyInstaller. Cuando está completamente implementada, la amenaza puede ejecutar comandos arbitrarios, buscar e instalar programas adicionales y cargas útiles amenazantes, ejecutar comandos de shell proporcionados por los piratas informáticos. Para confirmar que está infectando un objetivo adecuado, DropBook Backdoor realiza una verificación de la presencia del idioma árabe en la computadora comprometida. Otro parámetro que puede evitar que se inicie la puerta trasera es si detecta que no hay WinRAR instalado en el objetivo. Entre las cargas útiles adicionales que deja caer DropBook Backdoor, los investigadores de infosec detectaron el marco de acceso remoto Quasar RAT. Aunque Quasar es una herramienta amenazante, ofrece a los ciberdelincuentes una manera fácil de establecer rutinas de registro de teclas, escuchas clandestinas y recolección de datos en el sistema infectado.
Los piratas informáticos de MoleRats han incorporado rápidamente la creciente tendencia entre los actores de amenazas de utilizar servicios legítimos en la nube y plataformas sociales como parte de la estructura de Comando y Control (C2, C&C) de sus creaciones de malware. De hecho, DropBook emplea cuentas falsas de Facebook o Simmplenote como canal de comunicación con el C2. Al mismo tiempo, explota Dropbox como almacenamiento para los datos de usuario robados y como servicio de alojamiento para las cargas útiles de espionaje adicionales.
