PyMicropsia Malware
PyMicropsia Malware es el nombre dado por los investigadores de infosec a una nueva cepa de malware de recopilación de datos que se ha observado como parte de las operaciones amenazantes de AridViper, un grupo de amenazas de piratas informáticos que se ha dirigido principalmente a organizaciones de Oriente Medio. La amenaza, y la razón de su nombre, tiene fuertes vínculos con las herramientas amenazantes anteriores de AridViper de la familia Micropsia, como superposiciones de código y similitudes tanto en su comportamiento como en la infraestructura de Comando y Control.
La amenaza tiene una amplia gama de capacidades de recopilación de datos. Una vez establecido completamente en el sistema informático comprometido, PyMicropsia puede recolectar archivos Outlook.OST al mismo tiempo que es capaz de matar o deshabilitar los procesos de Outlook. Los archivos OST en Outlook permiten a los usuarios trabajar en un entorno fuera de línea y cualquiera de los cambios realizados se sincroniza con el servidor de Exchange la próxima vez que el usuario se conecte. La amenaza puede extraer contactos, tareas, mensajes, datos del calendario y otra información de la cuenta de estos archivos. Además, la amenaza también puede comprometer y recopilar credenciales del navegador.
Sin embargo, las capacidades amenazantes de PyMicropsia no se detienen ahí. Los piratas informáticos de AridViper han equipado el malware con una impresionante variedad de funcionalidades amenazantes adicionales. La amenaza puede eliminar o exfiltrar archivos, buscar y descargar cargas útiles adicionales, tomar capturas de pantalla, establecer rutinas de registro de teclas, escanear unidades USB en busca de información, recopilar información de listas y reiniciar el sistema infectado. A través de cualquier micrófono conectado a la computadora, PyMicropsia también puede comenzar a grabar audio.
Aunque los piratas informáticos de AridViper se han dirigido a los sistemas Windows solo de manera constante, los fragmentos de código no utilizados que se encuentran dentro de PyMicropsia indican que podrían estar buscando expandirse actualmente. Los investigadores de Infosec descubrieron que varias secciones de código que se encuentran dentro de PyMicropsia indican que la amenaza podría volverse aún más poderosa pronto. Las funciones tienen la tarea de realizar una verificación de POSIX, la interfaz del sistema operativo portátil y Darwin, un sistema operativo de código abierto similar a Unix.
