SAS 2023: una investigación clave | Blog oficial de Kaspersky

En la conferencia internacional Security Analyst Summit, nuestros expertos del equipo de análisis e investigación global de Kaspersky (GReAT) presentaron unas investigaciones realmente interesantes. A continuación, aprovechamos para compartir contigo la información más interesante sin profundizar demasiado en los detalles más técnicos.

StripedFly: la plataforma de software espía

Aunque suene a novela de detectives, se trata de un malware que anteriormente se había detectado como un minero de criptomonedas Monero normal y corriente, pero que en realidad era una tapadera de una amenaza modular compleja capaz de infectar ordenadores con sistemas Windows o Linux. Los módulos de StripedFly en un equipo pueden robar información, realizar capturas de pantalla, grabar audios desde el micrófono e interceptar las contraseñas de conexiones wifi. Sin embargo, no solo resulta útil para el espionaje: también presenta módulos capaces de actuar como ransomware y minar criptomonedas.

Lo realmente interesante del asunto es que la amenaza puede propagarse utilizando el exploit EthernalBlue, aunque ese vector se parcheara allá por el 2017. Además, StripedFly puede usar claves y contraseñas robadas para infectar sistemas Linux y Windows con un servidor SSH en ejecución. Para una información más detallada y sus indicadores de compromiso, puedes visitar el blog de Securelist.

Todo sobre Operation Triangulation

Otro informe de la Security Analyst Summit tuvo como protagonista el fin de la investigación de Operation Triangulation, que, entre otros, puso el punto de mira en nuestros empleados. Tras un análisis detallado de la amenaza, nuestros expertos fueron capaces de detectar cinco vulnerabilidades en el sistema iOS utilizadas por este actor de amenazas. Cuatro de ellas (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 y CVE-2023-41990) eran vulnerabilidades de día cero y afectaban no solo a iPhone, sino también a iPod, iPad, macOS, Apple TV y Apple Watch. También resultó que, además de infectar dispositivos a través de iMessage, los atacantes podían atacar el navegador Safari. En esta publicación podrás leer todos los detalles sobre cómo nuestros expertos analizaron esta amenaza.

La nueva campaña de Lazarus

El tercer informe de nuestros expertos del equipo GReAT estuvo dedicado a los nuevos ataques llevados a cabo por el grupo de APT Lazarus, que ya está utilizando los ataques a la cadena de suministro para enfrentarse a su nuevo objetivo: los desarrolladores de software, de hecho, algunos ya han sufrido las consecuencias.

A través de vulnerabilidades en el cifrado de comunicaciones web en software legítimo, Lazarus infecta el sistema e implementa un nuevo implante SIGNBT, cuya parte principal opera únicamente en la memoria. Esto sirve para estudiar a la víctima: obtener la configuración de la red, los nombres de los procesos y usuarios, así como para lanzar cargas útiles maliciosas adicionales. En concreto, descarga una versión mejorada de la ya conocida puerta trasera LPEClient, que también se ejecuta en la memoria, y a su vez lanza un malware capaz de robar credenciales u otros datos. Para más información técnica sobre las nuevas herramientas del grupo de APT Lazarus, así como sus indicadores de compromiso, visita el blog de Securelist.

El ataque TetrisPhantom

Además, los expertos brindaron información sobre el ataque TetrisPhantom dirigido a agencias gubernamentales de la región Asia-Pacífico. TetrisPhantom se dedica a comprometer cierto tipo de unidades USB con la opción de cifrado de hardware que suelen utilizar las organizaciones gubernamentales. Mientras investigaban esta amenaza, los expertos identificaron toda una campaña de espionaje con una variedad de módulos maliciosos para ejecutar comandos y recopilar archivos e información de los ordenadores comprometidos y transferirlos a otras máquinas que también utilizan unidades de USB seguras. En nuestro informe trimestral sobre amenazas APT podrás encontrar información sobre esta campaña.