NuggetPhantom Malware
NuggetPhantom es el nombre que se le da a un conjunto de herramientas de malware modularizado. Los investigadores de Infosec asocian esta operación recién detectada con la actividad de un actor de amenazas singular que hasta ahora ha sido responsable de llevar a cabo varias campañas de ataque diferentes. La primera operación del grupo tuvo lugar a fines de 2016 cuando los clientes del campus de Tianyi fueron atacados por malware, lo que provocó un error de pantalla azul de la muerte (BSOD) en las computadoras afectadas. En una campaña posterior que una vez más se dirigió a los clientes del Tianyi Campus, los piratas informáticos colocaron cargas útiles de criptominería en los sistemas comprometidos. La actividad recién descubierta también implica la entrega de malware de criptominería.
La cadena de ataque comienza cuando los piratas informáticos buscan y seleccionan sistemas informáticos que aún son vulnerables al exploit EternalBlue. Luego, crean cargas útiles personalizadas para los sistemas vulnerables específicos. Las víctimas potenciales son atacadas una por una con una carga útil de descarga que explota la vulnerabilidad EternalBlue. El propio descargador presenta varias características sofisticadas que lo ayudan a combatir posibles técnicas anti-malware. Además, está equipado con varias técnicas de sigilo que permiten a la amenaza evadir la detección del comportamiento y el análisis del tráfico. La estructura altamente modularizada brinda a los piratas informáticos la capacidad de invocar y ejecutar solo los procesos corruptos específicos necesarios para la operación actual, lo que reduce la huella general del kit de herramientas. Cuando se implementó por completo, se detectó que el malware NuggetPhantom se usaba para la minería encriptada a través de los recursos informáticos de la víctima y para realizar ataques distribuidos de denegación de servicio (DDoS).
El actor de amenazas ha modificado sus tácticas, técnicas y procedimientos (TTP) con el tiempo. De acuerdo con las últimas observaciones de los expertos en seguridad de la información, los piratas informáticos ahora valoran más pasar desapercibidos y mantener la persistencia en las computadoras objetivo durante un período más largo para obtener las máximas ganancias monetarias potenciales, pero que sus actividades se descubran con bastante rapidez y se cierren.
