FadeStealer

El grupo de piratería APT37, también conocido como StarCruft, Reaper o RedEyes, ha sido observado recientemente utilizando un malware de robo de información recientemente descubierto llamado FadeStealer. Este malware sofisticado incorpora una capacidad de 'escuchas telefónicas', lo que permite a los actores de amenazas interceptar y grabar audio de los micrófonos de las víctimas en secreto.

Se cree ampliamente que APT37 es un grupo de piratería patrocinado por el estado con un historial significativo de realizar operaciones de ciberespionaje alineadas con los intereses de Corea del Norte. Sus objetivos han incluido desertores de Corea del Norte, instituciones educativas y organizaciones con sede en la Unión Europea.

En campañas anteriores, este grupo ha empleado malware a medida como 'Dolphin' y ' M2RAT ' para llevar a cabo sus ciberataques. Estas herramientas amenazantes se diseñaron específicamente para infiltrarse en los dispositivos de Windows, incluidos los teléfonos móviles conectados, y facilitar diversas actividades maliciosas, como la ejecución de comandos, el robo de datos, la recolección de credenciales y la captura de capturas de pantalla.

Un malware de puerta trasera personalizado ofrece la amenaza FadeStealer

Los investigadores de seguridad han descubierto recientemente detalles sobre otro malware personalizado utilizado en los ataques de APT37, conocido como puerta trasera AblyGo. Junto con FadeStealer, estas herramientas no deseadas están diseñadas para infiltrarse en sistemas específicos y facilitar diversas actividades dañinas.

El método de entrega inicial de este malware implica correos electrónicos de phishing que contienen archivos adjuntos. Estos archivos consisten en documentos de Word y Hangul Word Processor protegidos con contraseña (archivos .docx y .hwp), junto con un archivo CHM de Windows 'password.chm'. Es muy probable que los correos electrónicos de phishing indiquen a los destinatarios que abran el archivo CHM para obtener la contraseña requerida para desbloquear los documentos. Sin embargo, sin que las víctimas lo sepan, esta acción desencadena el proceso de infección en sus dispositivos Windows.

Al abrir el archivo CHM, un aviso engañoso mostrará la supuesta contraseña para desbloquear los documentos. Simultáneamente, el archivo descarga y ejecuta discretamente un script de PowerShell remoto, que sirve como una puerta trasera con funcionalidad avanzada. Esta puerta trasera de PowerShell establece comunicación con los servidores de comando y control (C2) de los atacantes, lo que les permite ejecutar comandos en el sistema comprometido de forma remota.

Además, la puerta trasera facilita el despliegue de una puerta trasera adicional conocida como 'puerta trasera AblyGo' durante las últimas etapas del ataque. Esta nueva puerta trasera aprovecha Ably Platform, un servicio de API que los desarrolladores utilizan para incorporar funciones en tiempo real y entrega de información en sus aplicaciones. Al utilizar Ably Platform como una plataforma C2, los actores de amenazas pueden enviar comandos codificados en base64 a la puerta trasera para su ejecución y recibir el resultado. Este enfoque les permite ocultar sus actividades maliciosas dentro del tráfico de red legítimo, lo que dificulta la detección y el control de sus operaciones.

La 'puerta trasera AblyGo' juega un papel crucial en la campaña de espionaje cibernético, ya que permite a los actores de amenazas llevar a cabo una escalada de privilegios, filtrar datos confidenciales y entregar componentes de malware adicionales. Al utilizar plataformas legítimas como Ably, los actores de amenazas tienen como objetivo evadir el software de seguridad y monitoreo de red, aumentando así la efectividad de sus ataques.

Las capacidades amenazantes encontradas en la amenaza FadeStealer

Las puertas traseras finalmente entregan FadeStealer como carga útil final. La amenaza es un malware de robo de información muy potente diseñado específicamente para dispositivos Windows. Una vez instalado, FadeStealer emplea una técnica llamada transferencia lateral de DLL para inyectarse en el proceso legítimo 'ieinstall.exe' de Internet Explorer, camuflando efectivamente su presencia.

FadeStealer opera sigilosamente en segundo plano, recolectando discretamente una amplia gama de información confidencial del dispositivo comprometido. A intervalos regulares de 30 minutos, el malware captura capturas de pantalla de la pantalla de la víctima, registra las pulsaciones de teclas registradas y recopila archivos de cualquier teléfono inteligente conectado o dispositivo extraíble. Además, FadeStealer posee la capacidad de grabar audio a través del micrófono del dispositivo, lo que permite a los actores de amenazas detrás del ataque escuchar conversaciones y recopilar inteligencia adicional.

Los datos recopilados se almacenan en carpetas %Temp% específicas, cada una con un propósito distinto dentro del proceso de exfiltración de datos. Las capturas de pantalla tomadas por el malware se almacenan en la carpeta %temp%\VSTelems_Fade\NgenPdbc, mientras que las pulsaciones de teclas registradas se almacenan en %temp%\VSTelems_Fade\NgenPdbk. La carpeta %temp%\VSTelems_Fade\NgenPdbm está dedicada a almacenar datos obtenidos a través de escuchas telefónicas de micrófonos. Además, la carpeta %temp%\VSTelems_FadeIn se utiliza para recopilar datos de los teléfonos inteligentes conectados, mientras que la carpeta %temp%\VSTelems_FadeOut sirve como ubicación de almacenamiento para los datos recopilados de los dispositivos de medios extraíbles. Estas carpetas específicas aseguran que los datos recopilados estén organizados y accesibles para los actores de amenazas que orquestan la campaña de espionaje cibernético.

Para mantener la eficiencia y facilitar el almacenamiento de datos, FadeStealer recopila la información robada en archivos RAR. Esto permite que el malware comprima y organice los datos robados, asegurando que permanezcan ocultos y fácilmente transportables para su posterior exfiltración por parte de los atacantes.