Una campaña maliciosa que ha puesto su mira en entidades relacionadas con la industria en el Medio Oriente desde 2019 ha resurgido con un conjunto de herramientas de malware actualizado para atacar los sistemas operativos Windows y macOS, lo que simboliza una expansión tanto en sus objetivos como en su estrategia en torno a la distribución de amenazas.
La firma rusa de ciberseguridad atribuyó los ataques a una amenaza persistente avanzada (APT) que rastrea como «WildPressure», y se cree que las víctimas pertenecen a la industria del petróleo y el gas.
WildPressure salió a la luz por primera vez en marzo de 2020 a partir de una operación de malware que distribuía un troyano C ++ con todas las funciones denominado «Milum» que permitía al actor de amenazas obtener el control remoto del dispositivo comprometido. Se dijo que los ataques comenzaron en agosto de 2019.
«Para su infraestructura de campaña, los operadores utilizaron servidores privados virtuales (VPS) alquilados de OVH y Netzbetrieb y un dominio registrado con el servicio de anonimización Domains by Proxy», señaló el año pasado el investigador de Kaspersky Denis Legezo.
Desde entonces, se han descubierto nuevas muestras de malware utilizadas en las campañas de WildPressure, incluida una versión más reciente del troyano C ++ Milum, una variante de VBScript correspondiente con el mismo número de versión y un script de Python llamado «Guard» que funciona tanto en Windows como en Windows. Mac OS.
El troyano multi-OS basado en Python, que utiliza ampliamente código de terceros disponible públicamente, está diseñado para enviar el nombre de host, la arquitectura de la máquina y el nombre de la versión del sistema operativo de la máquina víctima a un servidor remoto y verificar si hay productos antimalware instalados, siguiendo que espera comandos del servidor que le permitan descargar y cargar archivos arbitrarios, ejecutar comandos, actualizar el troyano y borrar sus rastros del host infectado.
La versión VBScript del malware, denominada «Tandis», presenta capacidades similares a las de Guard y Milum, al tiempo que aprovecha XML encriptado sobre HTTP para comunicaciones de comando y control (C2). Por separado, Kaspersky dijo que encontró una serie de complementos C ++ previamente desconocidos que se han utilizado para recopilar datos en sistemas infectados, como registrar pulsaciones de teclas y capturar capturas de pantalla.
Además, en lo que parece ser una evolución del modus operandi, la última campaña, además de depender de VPS comerciales, también incluyó sitios web de WordPress legítimos comprometidos en su infraestructura de ataque, y los sitios web sirvieron como servidores de retransmisión de Guard.
Hasta la fecha, no hay una visibilidad clara con respecto al mecanismo de propagación del malware ni similitudes sólidas basadas en el código o en las víctimas con otros actores de amenazas conocidos. Sin embargo, los investigadores dijeron que detectaron vínculos menores en las técnicas utilizadas por otro adversario llamado BlackShadow, que también opera en la misma región.
Las «tácticas no son lo suficientemente únicas como para llegar a una conclusión de atribución; es posible que ambos grupos simplemente estén usando las mismas técnicas genéricas y enfoques de programación», dijo Legezo.
