Kamikakabot
Se ha detectado una nueva ola de ciberataques dirigidos a organizaciones gubernamentales y militares en países del sudeste asiático. Estos ataques se atribuyen al grupo Dark Pink APTAdvanced Persistent Threat (Amenaza Persistente Avanzada), también conocido como Saaiwc. Entre las herramientas personalizadas utilizadas por Dark Pink se encuentran TelePowerBot y KamiKakaBot, que permiten al grupo ejecutar comandos arbitrarios y robar datos confidenciales de los dispositivos infectados.
Se cree que Dark Pink se origina en la región de Asia-Pacífico y ha estado activo al menos desde mediados de 2021. Sin embargo, sus actividades se intensificaron en 2022 y 2023, como lo demuestran los recientes ataques contra entidades gubernamentales y militares en el sudeste asiático. El uso de malware sofisticado como KamiKakaBot subraya las capacidades y la determinación del grupo para lograr sus objetivos. Estos ataques representan una grave amenaza para la seguridad nacional y destacan la necesidad de una mayor vigilancia y medidas proactivas para mitigar el riesgo de ataques cibernéticos.
Los piratas informáticos utilizan tácticas de phishing y documentos señuelo
Según un informe reciente de la firma holandesa de ciberseguridad EclecticIQ, en febrero de 2023 se descubrió una nueva ola de ataques que se parecía mucho a los ataques anteriores. Sin embargo, hubo una diferencia significativa en esta campaña: la rutina de ofuscación del malware se mejoró para evitar mejor la detección por parte de las medidas antimalware.
Los ataques siguen una estrategia de ingeniería social que implica el envío de mensajes de correo electrónico que contienen archivos adjuntos de imágenes ISO a objetivos desprevenidos. El archivo de imagen ISO contiene tres componentes: un ejecutable (Winword.exe), un cargador (MSVCR100.dll) y un documento señuelo de Microsoft Word. El documento de Word es una distracción, mientras que el cargador es responsable de cargar el malware KamiKakaBot.
Para evadir las protecciones de seguridad, el cargador utiliza el método de carga lateral de DLL para cargar KamiKakaBot en la memoria del binario Winword.exe. Este método permite que el malware eluda las medidas de seguridad que, de otro modo, impedirían su ejecución.
KamiKakaBot puede robar información confidencial de los dispositivos violados
KamiKakaBot es un programa de software malicioso diseñado para infiltrarse en los navegadores web y robar datos confidenciales. Este malware también es capaz de ejecutar código remoto mediante el símbolo del sistema (cmd.exe). Para evadir la detección, el malware incorpora técnicas sofisticadas para mezclarse con el entorno de la víctima y evitar la detección.
Una vez que un host se ve comprometido, el malware establece persistencia al abusar de la biblioteca Winlogon Helper para realizar modificaciones maliciosas en la clave del Registro de Windows. Esto permite que el malware permanezca sin ser detectado y continúe realizando sus actividades maliciosas. Los datos robados luego se envían a un bot de Telegram como un archivo ZIP.
Según los expertos en ciberseguridad, el uso de servicios web legítimos como Telegram como servidor de comando y control (C2, C&C) es una táctica común utilizada por los actores de amenazas. Este enfoque hace que sea más difícil detectar y cerrar el malware, ya que el tráfico parece ser una comunicación legítima con el servicio web. Estas tácticas son empleadas no solo por los ciberdelincuentes habituales, sino también por actores avanzados de amenazas persistentes.
Dada la creciente sofisticación de estos ataques, es fundamental que las organizaciones tomen medidas proactivas para prevenir los ciberataques. Esto incluye implementar medidas de seguridad sólidas para protegerse contra el malware, mantener el software actualizado y educar a los empleados sobre cómo identificar y evitar ataques de phishing.
