Licencias para múltiples dispositivos (descuentos por volumen)

Cambia región

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe हिन्दी 日本語 汉语 漢語
Threat Database Trojan Downloader Software malicioso SkinnyBoy

Software malicioso SkinnyBoy

Por CagedTech en Trojan Downloader
Traducir a:
Español

Los expertos de Infosec de la empresa de investigación de amenazas Cluster 25 descubrieron una nueva campaña de spear-phishing contra entidades estratégicas. Como parte de la cadena de ataque, los investigadores encontraron una nueva amenaza de malware que actuó como un descargador de etapa intermedia encargado de entregar la carga útil amenazante final en los sistemas vulnerados. Llamado SkinnyBoy, el malware se ha atribuido a ser parte del arsenal dañino de la banda APT28 de habla rusa. Este actor de amenazas en particular también está bajo los nombres de Fancybear, Sednit, Strontium, PwnStorm y Sofacy.

Características de SkinnyBoy

El ataque SkinnyBoy comienza con la entrega de correos electrónicos de phishing de cebo. Las víctimas reciben una falsa invitación para un evento científico internacional que supuestamente tendrá lugar en España, a finales de julio. Adjunto al correo electrónico hay un documento de Microsoft armado que contiene una macro dañada. Tras su activación, la macro extrae un descargador de malware en forma de archivo DLL.

SkinnyBoy se entrega junto al sistema infectado. La amenaza llega como un archivo llamado 'tpd1.exe'. Una vez iniciado, SkinnyBoy intenta establecer un mecanismo de persistencia creando un archivo LNK en la carpeta de inicio de Windows. Cada vez que se reinicia el sistema comprometido, el LNK se activa y comienza a buscar el archivo de carga útil principal de SkinnyBoy 'TermSrvClt.dll'. Lo hace escaneando el hash SHA256 de cada archivo almacenado en la ubicación C: \ Users \% username% \ AppData \ Local.

La tarea principal realizada por SkinnyBoy es la entrega de la carga útil final en los sistemas infectados. Sin embargo, mientras esté presente en el sistema, la amenaza también recopilará información específica mediante la explotación de las herramientas de Windows 'syteminfo.exe' y 'tasklist.exe'. Los datos se recopilan de los siguientes archivos y ubicaciones:

  • C: \ Usuarios \% nombre de usuario% \ Escritorio
  • C: \ Archivos de programa - C: \ Archivos de programa (x86)
  • C: \ Usuarios \% nombre de usuario% \ AppData \ Roaming \ Microsoft \ Windows \ Menú Inicio \ Programas \ Herramientas administrativas
  • C: \ Users \% username% \ AppData \ Roaming
  • C: \ Usuarios \% nombre de usuario% \ AppData \ Roaming \ Microsoft \ Windows \ Templates
  • C: \ Windows - C: \ Users \ user \ AppData \ Local \ Temp

La información recopilada por SkinnyBoy luego se organiza, se codifica en formato base64 y se exfiltra a los servidores de comando y control de la operación.

Víctimas SkinnyBoy

Hasta ahora, el malware SkinnyBoy se ha implementado contra un gran número de víctimas potenciales. Parece que APT28 está apuntando principalmente a agencias gubernamentales como ministerios de relaciones exteriores, entidades de la industria de defensa, embajadas y organizaciones del sector militar. Si bien varias de las víctimas estaban ubicadas en la Unión Europea, APT28 puede operar a mayor escala y el ataque posiblemente también afecte a las organizaciones estadounidenses.

Tendencias

Mas Visto

Cargando...