Una nueva campaña de malware ha sido detectada recientemente, diseñada para infectar sistemas Windows y recopilar información delicada. La compañía de seguridad cibernética Securonix ha denominado a esta campaña DEEP#GOSU y se cree que puede estar vinculada con un grupo respaldado por el estado norcoreano conocido como Kimsuky.
De acuerdo con los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov, «las cargas útiles de malware usadas en DEEP#GOSU representan una amenaza sofisticada y de varias etapas diseñada para operar de manera sigilosa en sistemas Windows, especialmente desde un punto de vista de monitoreo de red».
El proceso de infección comienza con un archivo adjunto malicioso de correo electrónico que contiene un archivo ZIP con un archivo de acceso directo (.LNK) falsificado, que se disfraza como un archivo PDF («IMG_20240214_0001.pdf.lnk»).
Los servicios legítimos como Dropbox o Google Docs se utilizan como parte del procedimiento de infección para el control de comandos, permitiendo al actor de amenazas mezclarse sin ser detectado en el tráfico regular de la red. El malware utilizado en la campaña DEEP#GOSU tiene múltiples capacidades, incluyendo la capacidad de registrar teclas y monitorear el portapapeles, ejecutar cargas útiles dinámicas y exfiltrar datos, y persistir utilizando tanto software de acceso remoto para obtener acceso completo como tareas programadas y scripts de PowerShell autoejecutables utilizando trabajos.
La campaña DEEP#GOSU también utiliza servicios en la nube para preparar cargas útiles, lo que permite actualizar la funcionalidad del malware o entregar módulos adicionales. Los investigadores de seguridad advierten que este malware representa una amenaza para cualquier empresa o individuo que utilice sistemas Windows.
Es importante destacar que Kimsuky ha empleado el troyano de acceso remoto TruRat en al menos dos campañas anteriores descubiertas por el AhnLab Security Intelligence Center. El malware utilizado en la campaña DEEP#GOSU también está equipado para recopilar información extensa sobre el sistema y exfiltrar los detalles a través de una solicitud POST a Dropbox.
En resumen, esta campaña de malware es una amenaza seria para los sistemas Windows y se cree que está vinculada con el grupo respaldado por el estado norcoreano Kimsuky. La utilización de servicios legítimos como Dropbox y Google Docs para el control de comandos convierte esta amenaza en una actividad difícil de detectar y rastrear. Es imperativo que las empresas y los individuos tomen medidas para protegerse contra este tipo de amenazas.
Vía The Hacker News