Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware GRAPELOADER

Malware GRAPELOADER

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:
Español

El grupo de hackers ruso APT29, también conocido como Cozy Bear o Midnight Blizzard, ha lanzado una nueva campaña de phishing dirigida a entidades diplomáticas de toda Europa. Esta campaña emplea una versión modificada de la puerta trasera WINELOADER y un cargador de malware recién descubierto, GRAPELOADER. Los atacantes utilizan correos electrónicos engañosos para engañar a los destinatarios y que ejecuten un archivo ZIP amenazante camuflado en una invitación a una cata de vinos.

Conozca este malware: GRAPELOADER y WINELOADER

Mientras que WINELOADER actúa como una puerta trasera modular en las últimas etapas de la infección, GRAPELOADER es la herramienta predilecta para la etapa inicial. GRAPELOADER gestiona:

  • Huellas dactilares del sistema
  • Persistencia mediante modificaciones del Registro de Windows
  • Entrega de carga útil a hosts infectados

Una vez que GRAPELOADER alcanza su persistencia, el malware entra en un bucle infinito, contactando a su servidor de Comando y Control (C2) cada 60 segundos. Durante su comunicación inicial, recopila información clave del sistema, como el nombre de usuario, el nombre del equipo, el nombre del proceso y el PID del proceso. Esta información se empaqueta junto con una cadena hexadecimal de 64 caracteres codificada —que probablemente sirva como identificador de campaña o versión— y se transmite al servidor C2 mediante una solicitud HTTPS POST.

A pesar de sus diferentes funciones, ambas herramientas comparten estructuras de código similares y emplean técnicas avanzadas de ofuscación, como el cifrado de cadenas y la resolución de API en tiempo de ejecución. GRAPELOADER se considera un sucesor más discreto de ROOTSAW, un descargador de HTA más antiguo.

Engaño táctico: desde señuelos para catas de vino hasta la ejecución de malware

Los correos electrónicos de phishing, procedentes de los dominios bakenhof.com y silry.com, se hacen pasar por un Ministerio de Asuntos Exteriores europeo e invitan a los destinatarios a una cata de vinos falsa. El archivo ZIP adjunto, wine.zip, contiene tres archivos clave:

  • AppvIsvSubsystems64.dll : una dependencia utilizada para la instalación de DLL
  • wine.exe : un ejecutable legítimo de PowerPoint explotado para ejecutar malware
  • ppcore.dll – La DLL maliciosa (GRAPELOADER) que se ejecuta mediante instalación lateral

Una vez ejecutado, el malware asegura su persistencia modificando el registro para ejecutar wine.exe en cada arranque del sistema.

Una red más amplia: más allá de las fronteras de Europa

La campaña se dirige principalmente a los Ministerios de Asuntos Exteriores y las embajadas europeas. Sin embargo, existen indicios de que el personal diplomático destacado en Oriente Medio también podría estar en la mira. Los investigadores observaron que GRAPELOADER no solo extrae datos del sistema a un servidor externo, sino que también facilita la distribución de WINELOADER como carga útil principal. Han aparecido versiones actualizadas de WINELOADER con marcas de tiempo de compilación coincidentes, lo que consolida aún más la familia de malware.

Conclusión: El papel de GRAPELOADER en el arsenal de APT29

Al reemplazar herramientas antiguas con GRAPELOADER, APT29 demuestra su continua innovación en ciberespionaje. Esta campaña ejemplifica cómo la ingeniería social sofisticada, combinada con un diseño de malware sigiloso, sigue siendo una estrategia potente para infiltrarse en objetivos gubernamentales de alto valor.

 

Tendencias

Estafa por correo electrónico de premio no reclamado

Suplantación de identidad (phishing), Correo basura
Navegar por internet de forma segura requiere estar siempre alerta, ya que los estafadores siempre buscan nuevas formas de explotar a usuarios desprevenidos. Una de estas estafas es la del correo electrónico de premio no reclamado, una estrategia engañosa diseñada para obtener información personal y dinero. Al hacerse pasar por una notificación legítima de un premio, esta táctica se aprovecha...

Mas Visto

Cargando...