La empresa rusa de ciberseguridad Kaspersky ha descubierto una nueva campaña de ciberataques que apunta a entidades gubernamentales en Oriente Medio. La campaña, conocida como DuneQuixote, presenta una nueva puerta trasera llamada CR4T que permite a los atacantes acceder a una consola para la ejecución de comandos en la máquina infectada. Además, el grupo detrás de esta campaña ha implementado medidas de evasión para evitar la detección y el análisis de sus técnicas de ataque.
La campaña DuneQuixote fue descubierta por Kaspersky en febrero de 2024 y se cree que ha estado activa desde al menos un año antes. Los ciberdelincuentes emplean un dropper que viene en dos variantes, un archivo ejecutable o archivo DLL y un archivo de instalador que simula a una herramienta legítima llamada Total Commander.
El dropper principal extrae una dirección de C2 que se descifra utilizando una nueva técnica que impide que la dirección del servidor se exponga a las herramientas de análisis automatizadas. La carga útil solo se puede descargar si se proporciona el usuario correcto, al que se hace referencia como «User-Agent». Además, la carga útil solo se encuentra disponible durante un breve período después de que se haya publicado una muestra de malware en la naturaleza.
La puerta trasera CR4T, basada en C/C++, es capaz de realizar operaciones de archivo y cargar y descargar archivos después de contactar al servidor C2. Kaspersky también ha descubierto una versión Golang de CR4T con características idénticas. Esta variante puede ejecutar comandos arbitrarios y crear tareas programadas utilizando la biblioteca Go-ole.
La campaña DuneQuixote se dirige a entidades en Oriente Medio con herramientas diseñadas para el sigilo y la persistencia. Kaspersky ha destacado la habilidad de los ciberdelincuentes para utilizar técnicas de evasión superiores a la media debido al uso de implantes solo en memoria y droppers que simulan instaladores de software legítimos. Este descubrimiento es una indicación de la refinación activa de la artesanía de malware multiplataforma por parte de actores de amenazas desconocidos.
Vía The Hacker News
