Los piratas informáticos vinculados a Pakistán agregaron un nuevo malware de Windows a su arsenal

Los ciberdelincuentes con presuntos vínculos con Pakistán continúan confiando en la ingeniería social como un componente crucial de sus operaciones como parte de una campaña de espionaje en evolución contra objetivos indios, según una nueva investigación.

Los ataques se han relacionado con un grupo llamado Transparent Tribe, también conocido como Operation C-Major, APT36 y Mythic Leopard, que ha creado dominios fraudulentos que imitan a organizaciones militares y de defensa indias legítimas, y otros dominios falsos que se hacen pasar por sitios de intercambio de archivos para alojar artefactos maliciosos.

«Si bien el personal militar y de defensa sigue siendo el objetivo principal del grupo, Transparent Tribe se dirige cada vez más a entidades diplomáticas, contratistas de defensa, organizaciones de investigación y asistentes a conferencias, lo que indica que el grupo está ampliando su objetivo», dijeron el jueves investigadores de Cisco Talos.

Estos dominios se utilizan para entregar maldocs que distribuyen CrimsonRAT y ObliqueRAT, y el grupo incorpora nuevos phishing, señuelos como documentos de currículum, agendas de conferencias y temas diplomáticos y de defensa en su conjunto de herramientas operativas. Vale la pena señalar que APT36 se vinculó previamente a una campaña de malware dirigida a organizaciones en el sur de Asia para implementar ObliqueRAT en sistemas Windows bajo la apariencia de imágenes aparentemente inocuas alojadas en sitios web infectados.

Las infecciones de ObliqueRAT también tienden a desviarse de las que involucran a CrimsonRAT en el sentido de que las cargas útiles maliciosas se inyectan en sitios web comprometidos en lugar de incrustar el malware en los propios documentos. En un caso identificado por los investigadores de Talos, se descubrió que los adversarios usaban el sitio web legítimo de la Asociación de Industrias de la India para alojar el malware ObliqueRAT, antes de configurar sitios web falsos que se asemejaban a los de entidades legítimas en el subcontinente indio mediante el uso de una utilidad de copia de sitios web de código abierto. llamado HTTrack.

Otro dominio falso creado por el actor de amenazas se hace pasar por un portal de información para la 7.ª Comisión Central de Pagos (7CPC) de India, instando a las víctimas a completar un formulario y descargar una guía personal que, cuando se abre, ejecuta CrimsonRAT al habilitar macros en la hoja de cálculo descargada. De manera similar, un tercer dominio malicioso registrado por los atacantes se hace pasar por un grupo de expertos indio llamado Center for Land Warfare Studies (CLAWS).

«Transparent Tribe se basa en gran medida en el uso de maldocs para propagar sus implantes de Windows», dijeron los investigadores. «Si bien CrimsonRAT sigue siendo el principal implante de Windows del grupo, su desarrollo y distribución de ObliqueRAT a principios de 2020 indica que están expandiendo rápidamente su arsenal de malware de Windows».

Al expandir su victimología, cambiar su arsenal de malware y diseñar señuelos convincentes, el actor de amenazas ha mostrado una clara voluntad de dar a sus operaciones una apariencia de legitimidad con la esperanza de que al hacerlo aumente la probabilidad de éxito.

«Las tácticas, técnicas y procedimientos (TTP) de Transparent Tribe se han mantenido prácticamente sin cambios desde 2020, pero el grupo continúa implementando nuevos señuelos en su conjunto de herramientas operativas», dijeron los investigadores. «La variedad de señuelos maldoc que emplea Transparent Tribe indica que el grupo aún depende de la ingeniería social como un componente central de sus operaciones».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática