Threat Database Backdoors SharpStage Backdoor

SharpStage Backdoor

El grupo MoleRats Advanced Persistent Threat (APT) ha lanzado una nueva campaña amenazante dentro de sus habituales en Oriente Medio y Norte de África. Más específicamente, los objetivos que se observan atacados en esta operación son figuras políticas de alto rango y funcionarios gubernamentales en Egipto, los Territorios Palestinos, Turquía y los Emiratos Árabes Unidos. MoleRats también se adhiere a su patrón de explotar eventos regionales importantes como señuelos para sus correos electrónicos de phishing. Lo que llamó la atención de los investigadores de seguridad de la información es el despliegue de dos nuevas herramientas de puerta trasera, una de cada una a la que llamaron SharpStage Backdoor.

SharpStage Backdoor es una potente amenaza de puerta trasera escrita en .NET que muestra signos de que todavía está en desarrollo activo. Hasta ahora, los investigadores han descubierto tres iteraciones distintas de la herramienta amenazante, y la última posee la capacidad de ejecutar comandos arbitrarios, recopilar datos confidenciales, tomar capturas de pantalla y filtrar toda la información recopilada. Para garantizar que el malware se inicie solo en los objetivos adecuados, los piratas informáticos de MoleRat implementaron una medida que verifica si la computadora infectada tiene instalado el árabe y finaliza su ejecución si la verificación arroja un resultado negativo.

Se ha observado que la puerta trasera de SharpStage descarga cargas útiles adicionales amenazadoras en la computadora comprometida, incluido el marco de acceso remoto Quasar RAT. Aunque Quasar RAT es una herramienta legítima de Windows cuando se ve en el vacío, no se puede negar que múltiples bandas de ciberdelincuentes ya la han incorporado como parte de sus operaciones. Después de todo, Quasar RAT les permite iniciar fácilmente el registro de teclas, la recolección de datos, la escucha clandestina y otros procesos amenazantes.

MoleRats APT también se ha adaptado rápidamente a la creciente tendencia entre los piratas informáticos que considera que estos actores de amenazas utilizan plataformas de redes sociales legítimas y servicios en la nube como parte de sus estructuras de comando y control (C2, C&C) de malware o rutinas de exfiltración de datos. La puerta trasera de SharpStage, en particular, descarga y extrae datos aprovechando una API de cliente de Dropbox que puede comunicarse con Dropbox a través de un token.

Tendencias

Mas Visto

Cargando...