Un nuevo malware llamado UNAPIMON ha sido utilizado por el grupo cibernético Earth Freybug para evitar la detección. Este grupo de amenazas cibernéticas ha estado activo desde al menos 2012 y se centra en actividades de espionaje y con fines financieros, atacando a organizaciones en diferentes países y sectores.
Según un informe de Trend Micro, Earth Freybug es un subconjunto dentro del grupo de ciberespionaje APT41, que también se conoce como Axiom, Brass Typhoon, Bronze Atlas, HOODOO, Wicked Panda y Winnti y está vinculado a China. Este colectivo adversario utiliza una combinación de binarios y malware personalizado, técnicas como el secuestro de bibliotecas de enlace dinámico (DLL) y la eliminación de interfaz de programación de aplicaciones (API), y está relacionado con la Operación CuckooBees divulgada por la compañía de ciberseguridad Cybereason.
El grupo utiliza una estrategia de ejecución legítima asociada a VMware Tools para crear una tarea programada y desplegar un archivo llamado «cc.bat» en la máquina remota. Este archivo recopila información del sistema y lanza una segunda tarea programada que ejecuta el malware UNAPIMON, programado en C++, diseñado para evitar la detección en entornos de sandbox al aprovechar una biblioteca de código abierto de Microsoft llamada Detours para desenlazar funciones críticas de API.
En su informe, Trend Micro destaca que incluso las tácticas simples pueden ser efectivas cuando se aplican correctamente y que la implementación de estas técnicas en un patrón de ataque existente hace que el ataque sea más difícil de descubrir. Por lo tanto, es importante estar alerta y tomar medidas preventivas para protegerse contra las amenazas cibernéticas.
Vía The Hacker News
