El actor de amenazas paquistaní ha diseñado socialmente con éxito una serie de ministerios en Afganistán y una computadora gubernamental compartida en la India para robar información confidencial de inicio de sesión para Google, Twitter y Facebook de sus objetivos y obtener acceso en secreto a los portales gubernamentales.
Los últimos hallazgos de Malwarebytes detallan las nuevas tácticas y herramientas adoptadas por el grupo APT conocido como Malwarebytes. SideCopy, que se llama así debido a sus intentos de imitar cadenas infecciosas asociadas con otro grupo visto como SideWinder y atribución engañosa.
«Los cebos utilizados por SideCopy APT suelen ser archivos de archivo que tienen uno de estos archivos incrustados: LNK, Microsoft Publisher o aplicaciones troyanizadas», dijo el investigador de Malwarebytes Hossein Jazi, y agregó que los archivos incrustados están diseñados para atacar a funcionarios gubernamentales y militares con sede en Afganistán. e India.
La revelación se produce poco después de la revelación de que Meta ha tomado medidas para bloquear las actividades dañinas del grupo en su plataforma con cebos románticos para comprometer a las personas con vínculos con el gobierno afgano, las fuerzas armadas y las agencias de aplicación de la ley en Kabul.
Algunos de los ataques destacados contra el personal asociado con la Oficina del Presidente de Afganistán (AOP), así como el Ministerio de Relaciones Exteriores, el Ministerio de Finanzas y la Oficina Nacional de Adquisiciones, llevaron al robo de contraseñas de redes sociales y protegidas por contraseñas. documentos. SideCopy también irrumpió en una computadora compartida en India y obtuvo los datos de inicio de sesión del gobierno y los servicios educativos.
Además, el actor supuestamente recopiló varios documentos de Microsoft Office, incluidos los nombres, números y direcciones de correo electrónico de funcionarios y bases de datos que contienen información relacionada con tarjetas de identidad, visas diplomáticas y registro de propiedad de los sitios web del gobierno afgano, todos los cuales se espera que sean utilizado como cebo futuro o para apoyar nuevos ataques contra los propios individuos.
La campaña de ciberespionaje observada por Malwarebytes incluye el objetivo de abrir un documento de cebo, que conduce al lanzador, que se utiliza para lanzar un caballo de Troya para acceso remoto en la siguiente fase llamada ActionRAT, que es capaz de cargar archivos y ejecutar comandos recibidos. del servidor, e incluso descargar otra carga útil.
El gestor de arranque también ha lanzado un nuevo ladrón de información llamado AuTo Stealer, que está programado para recopilar archivos de Microsoft Office, documentos PDF, archivos de texto, archivos de base de datos e imágenes antes de filtrar la información a su servidor a través de HTTP o TCP.
Esta no es la primera vez que las tácticas de SideCopy APT salen a la luz. En septiembre de 2020, la firma de seguridad cibernética Quick Heal descubrió detalles de un ataque de espías contra las fuerzas de defensa y el personal de las fuerzas armadas de la India desde al menos 2019 para robar información confidencial.
A principios de julio, los investigadores de Cisco Talos descubrieron una gran cantidad de cadenas infecciosas de piratas informáticos que suministran troyanos y troyanos para el acceso remoto a productos básicos como CetaRAT, Allakore y njRAT, en lo que llamaron campañas de malware en expansión dirigidas a India.