Malware DEEPDATA
Un actor de amenazas que opera bajo el alias BrazenBamboo ha aprovechado una vulnerabilidad sin parchear en FortiClient para Windows de Fortinet para recopilar credenciales de VPN. Esta actividad es parte de un sofisticado marco modular conocido como DEEPDATA.
Los investigadores que analizaron esta campaña descubrieron la explotación de la vulnerabilidad de divulgación de credenciales de día cero en julio de 2024. Atribuyeron el desarrollo de DEEPDATA, DEEPPOST y LightSpy a BrazenBamboo.
¿Qué es el malware DEEPDATA?
DEEPDATA es una herramienta modular de post-explotación diseñada para el sistema operativo Windows, capaz de recopilar información extensa de los dispositivos comprometidos. Se hizo conocida inicialmente cuando los especialistas en ciberseguridad analizaron el marco de vigilancia basado en Windows, vinculándolo con el actor de amenazas APT41 asociado a China. DEEPDATA se ha utilizado para extraer datos de plataformas de comunicación como WhatsApp, Telegram, Signal, WeChat, LINE, QQ y Skype, así como de Microsoft Outlook, DingDing, Feishu, KeePass, credenciales de aplicaciones, datos del navegador, redes Wi-Fi y software instalado.
En el corazón de DEEPDATA se encuentra un cargador de biblioteca de vínculos dinámicos (DLL) conocido como data.dll, que está diseñado para descifrar e implementar 12 complementos distintos a través de un módulo orquestador llamado frame.dll. Entre estos complementos se encuentra una DLL FortiClient recientemente identificada, capaz de recopilar credenciales de VPN.
Este complemento aprovecha una vulnerabilidad de día cero sin parchear en el cliente VPN de Fortinet para Windows. Al explotar esta falla, recupera las credenciales de usuario directamente de la memoria del proceso del cliente.
Otras amenazas dañinas que forman parte del arsenal de BrazenBamboo
Desde que creó el implante de software espía LightSpy en 2022, el atacante se ha centrado constantemente en atacar estratégicamente las plataformas de comunicación, priorizando el sigilo y el acceso sostenido. La versión de Windows de LightSpy se diferencia de otras variantes del sistema operativo en su arquitectura. Se implementa a través de un instalador que carga una biblioteca para ejecutar un shellcode en la memoria. Luego, este shellcode descarga y decodifica el componente orquestador del servidor de comando y control. El orquestador se activa mediante un cargador llamado BH_A006, que anteriormente se ha asociado con el presunto grupo de amenazas chino 'Space Pirates', conocido por atacar a organizaciones rusas.
Otra herramienta del arsenal de malware de BrazenBamboo es DEEPPOST, una herramienta de exfiltración de datos posterior a la explotación capaz de enviar archivos a un punto final remoto. Juntos, DEEPDATA y DEEPPOST mejoran significativamente las capacidades de ciberespionaje del actor de amenazas, basándose en el trabajo anterior con LightSpy, que ahora se dirige a macOS, iOS y Windows.
Existen notables similitudes de código e infraestructura entre LightSpy y DEEPDATA, lo que indica que es probable que ambas familias de malware hayan sido desarrolladas por la misma empresa privada, posiblemente contratada para crear herramientas de piratería para uso gubernamental.
