Una campaña maliciosa ha puesto su mirada en entidades relacionadas con la industria en el Medio Oriente desde 2019 ha resurgido con un conjunto de herramientas de malware actualizada para atacar los sistemas operativos Windows y macOS, simbolizando una expansión tanto en sus objetivos como en su estrategia en torno a la distribución de amenazas.
La firma rusa de ciberseguridad atribuyó los ataques a una amenaza persistente avanzada (APT) que rastrea como «WildPressure«, y se cree que las víctimas están en la industria del petróleo y el gas.
WildPressure salió a la luz por primera vez en marzo de 2020 a partir de una operación de malware que distribuía un troyano C ++ con todas las funciones denominado «Milum» que permitió al actor de amenazas obtener el control remoto del dispositivo comprometido. Se dijo que los ataques comenzaron en agosto de 2019.
«Para su infraestructura de campaña, los operadores utilizaron servidores privados virtuales (VPS) alquilados por OVH y Netzbetrieb y un dominio registrado en el servicio de anonimización Domains by Proxy», señaló el año pasado el investigador de Kaspersky Denis Legezo.
Desde entonces, se han descubierto nuevas muestras de malware utilizadas en las campañas de WildPressure, incluida una versión más reciente del troyano C ++ Milum, una variante de VBScript correspondiente con el mismo número de versión y un script de Python llamado «Guard» que funciona tanto en Windows como en macOS.
El troyano multisistema operativo basado en Python, que hace extensivamente el código de terceros disponible públicamente, está diseñado para enviar el nombre de host de la máquina víctima, la arquitectura de la máquina y el nombre de la versión del sistema operativo a un servidor remoto y verificar si hay productos anti-malware instalados, siguiendo que espera comandos del servidor que le permitan descargar y cargar archivos arbitrarios, ejecutar comandos, actualizar el troyano y borrar sus rastros del host infectado.
La versión VBScript del malware, llamada «Tandis», presenta capacidades similares a las de Guard y Milum, al tiempo que aprovecha XML encriptado sobre HTTP para comunicaciones de comando y control (C2). Por separado, Kaspersky dijo que encontró una serie de complementos de C ++ previamente desconocidos que se han utilizado para recopilar datos sobre sistemas infectados, incluida la grabación de pulsaciones de teclas y la captura de capturas de pantalla.
Además, en lo que parece ser una evolución del modus operandi, la última campaña, además de depender de VPS comerciales, también incorporó sitios web legítimos de WordPress comprometidos a su infraestructura de ataque, con los sitios web que sirven como servidores de retransmisión de Guard.
Hasta la fecha, no hay una visibilidad clara con respecto al mecanismo de propagación de malware ni similitudes sólidas basadas en códigos o víctimas con otros actores de amenazas conocidos. Sin embargo, los investigadores dijeron que detectaron vínculos menores en las técnicas utilizadas por otro adversario llamado BlackShadow, que también opera en la misma región.
Las «tácticas no son lo suficientemente únicas como para llegar a una conclusión de atribución; es posible que ambos grupos simplemente estén usando las mismas técnicas genéricas y enfoques de programación», dijo Legezo.
