‘Karkoff’ es el nuevo ‘DNSpionage’ con una estrategia de segmentación selectiva

Malware de espionaje DNS Karkoff

Se descubrió que el grupo de ciberdelincuentes detrás de la infame campaña de malware DNSpionage ejecuta una nueva operación sofisticada que infecta a víctimas seleccionadas con una nueva variante del malware DNSpionage.

Descubiertos por primera vez en noviembre del año pasado, los ataques de DNSpionage utilizaron sitios comprometidos y crearon documentos maliciosos para infectar las computadoras de las víctimas con DNSpionaje: una herramienta administrativa remota personalizada que utiliza comunicación HTTP y DNS para comunicarse con el servidor de comando y control controlado por el atacante.

Según un nuevo informe publicado por el equipo de investigación de amenazas Talos de Cisco, el grupo ha adoptado algunas tácticas, técnicas y procedimientos nuevos para mejorar la eficacia de sus operaciones, haciendo que sus ataques cibernéticos sean más específicos, organizados y sofisticados.

A diferencia de campañas anteriores, los atacantes ahora han comenzado a realizar un reconocimiento de sus víctimas antes de infectarlas con una nueva pieza de malware, denominada Karkofflo que les permite elegir selectivamente qué objetivos infectar para no ser detectados.

«Identificamos superposiciones de infraestructura en los casos de DNSpionage y Karkoff», dicen los investigadores.

Durante la fase de reconocimiento, los atacantes recopilan información del sistema relacionada con el entorno de la estación de trabajo, el sistema operativo, el dominio y la lista de procesos en ejecución en la máquina de las víctimas.

«El malware busca dos plataformas antivirus específicas: Avira y Avast. Si uno de estos productos de seguridad está instalado en el sistema y se identifica durante la fase de reconocimiento, se establecerá un indicador específico y se mostrarán algunas opciones del archivo de configuración. ignorado «, dicen los investigadores.

Desarrollado en .NET, Karkoff permite a los atacantes ejecutar código arbitrario en hosts comprometidos de forma remota desde su servidor C&C. Cisco Talos identificó a Karkoff como malware no documentado a principios de este mes.

Lo interesante es que el malware Karkoff genera un archivo de registro en los sistemas de las víctimas que contiene una lista de todos los comandos que ha ejecutado con una marca de tiempo.

«Este archivo de registro se puede usar fácilmente para crear una línea de tiempo de la ejecución del comando que puede ser extremadamente útil al responder a este tipo de amenaza», explican los investigadores.

«Con esto en mente, una organización comprometida con este malware tendría la oportunidad de revisar el archivo de registro e identificar los comandos ejecutados en su contra».

Al igual que la última campaña de espionaje de DNS, los ataques descubiertos recientemente también se dirigen a la región de Medio Oriente, incluidos el Líbano y los Emiratos Árabes Unidos (EAU).

Además de deshabilitar las macros y usar un software antivirus confiable, lo más importante es que se mantenga alerta y se mantenga informado sobre las técnicas de ingeniería social para reducir el riesgo de convertirse en víctima de este tipo de ataques.

Debido a varios informes públicos de ataques de secuestro de DNS, el Departamento de Seguridad Nacional (DHS) de EE. UU. emitió a principios de este año una «directiva de emergencia» para todas las agencias federales que ordenan al personal de TI que audite los registros DNS de sus respectivos dominios de sitios web u otros dominios

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática