El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de ciberespionaje que, a través de aplicaciones de mensajería para Android, exfiltran información confidencial.

Ciudad de México – El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analizó una campaña de ciberespionaje que ha estado distribuyendo backdoors (troyano que permite el acceso al sistema infectado y su control remoto) a través de aplicaciones de mensajería para Android troyanizadas, exfiltrando información confidencial. Durante la investigación se identificó información, incluida la geolocalización, de más de 150 víctimas en India, Pakistán, Rusia, Omán y Egipto.

 

La campaña activa fue atribuida por ESET al grupo conocido como Transparent Tribe, y es dirigida principalmente a usuarios de Android de India y Paquistán, presumiblemente con una orientación militar o política. Las víctimas probablemente fueron atacadas a través de una estafa romántica, donde inicialmente fueron contactadas en otra plataforma y luego convencidas de usar aplicaciones supuestamente “más seguras” que terminaron instalando en sus dispositivos. La campaña ha estado activa aproximadamente desde julio de 2022, y ha distribuido un código malicioso identificado por ESET como el backdoor CapraRAT  utilizando al menos dos sitios web similares que se presentan como versiones limpias de esas aplicaciones de mensajería segura.

 

Además de la funcionalidad de chat inherente de la aplicación legítima original, las versiones troyanizadas incluyen el backdoor CapraRAT. Este backdoor es capaz de realizar capturas de pantalla y tomar fotos, grabar llamadas telefónicas y el audio circundante, y exfiltrar cualquier otra información confidencial del dispositivo. El backdoor también puede recibir comandos de los atacantes para realizar distintas acciones en el dispositivo comprometido, como descargar archivos, realizar llamadas y enviar mensajes SMS. La campaña tiene un objetivo limitado y nada sugiere que estas aplicaciones alguna vez estuvieron disponibles en Google Play.

 

Basado en el nombre de Android Package Kit (APK), la primera aplicación maliciosa tiene como nombre de marca MeetsApp y afirma proporcionar comunicaciones de chat seguras. ESET encontró un sitio web desde el cual se podría haber descargado esta muestra (meetsapp[.]org.

 

Figura 1. Sitio web desde el cual se distribuyó CapraRAT haciéndose pasar por MeetsApp

 

El análisis del sitio web de distribución de MeetsApp mostró que algunos de sus recursos estaban alojados en otro servidor con un nombre de dominio similar, utilizando un nombre de servicio similar. Ese sitio también proporcionó una aplicación de mensajería para Android, MeetUp, para descargar con el mismo nombre de paquete que para MeetsApp y con el mismo logotipo del sitio web.

 

Figura 2. Sitio web de distribución de CapraRAT haciéndose pasar por MeetUp

 

Antes de usar la aplicación, las víctimas deben crear cuentas que estén vinculadas a sus números de teléfono y requieran la verificación vía SMS. Una vez que se crea esta cuenta, la aplicación solicita permisos adicionales que permiten que se despliegue la funcionalidad completa del backdoor, como acceder a contactos, registros de llamadas, mensajes SMS, almacenamiento externo y grabación de audio.

 

Figura 3. Distribución de víctimas

 

De acuerdo a la investigación de ESET, las potenciales víctimas fueron engañadas para instalar la aplicación a través de una operación de estafa romántica, donde lo más probable es que primero fueron contactados en una plataforma diferente y luego persuadidos para usar la aplicación “más segura” MeetsApp o MeetUp.

 

Los puntos claves de la investigación de ESET, son:

• La campaña de Transparent Tribe se dirige principalmente a ciudadanos de India y Paquistán, posiblemente aquellos con antecedentes militares o políticos.
• Distribuyó el backdoor para Android “CapraRAT” a través de aplicaciones troyanizadas de mensajería y llamadas seguras bajo el nombre de MeetsApp y MeetUp. El backdoor puede exfiltrar cualquier información confidencial de los dispositivos de sus víctimas.
• Estas aplicaciones troyanizadas estaban disponibles para su descarga desde sitios web que se hacían pasar por centros de distribución oficiales. Desde ESET creen que se utilizó una estafa romántica para atraer a los objetivos a estos sitios web.
• La seguridad operativa deficiente en torno a estas aplicaciones expuso la información personal identificable del usuario, lo que permitió geolocalizar a 150 víctimas.
• El backdoor CapraRAT fue alojado en un dominio que se resolvió en una dirección IP utilizada anteriormente por Transparent Tribe.

 

“La campaña apuntando a dispositivos móviles operada por el grupo Transparent Tribe sigue activa y utiliza dos aplicaciones de mensajería troyanizadas como cubierta para distribuir su backdoor para Android CapraRAT. Ambas aplicaciones se distribuyen a través de dos sitios web similares que, según sus descripciones, brindan servicios seguros de mensajería y llamadas. Los operadores de estas aplicaciones tenían una seguridad operativa deficiente, lo que provocó que la información personal identificable de la víctima quedara expuesta a nuestros investigadores a través de Internet. Gracias a esto fue posible obtener alguna información sobre las víctimas.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

¿Estafas románticas? ESET identificó una campaña de espionaje que se distribuye por aplicaciones de mensajería

• Aplicaciones de mensajería Ciberespionaje Estafas románticas
• At 3/11/2023 12:21:00 a.m.
• Leave a Comment

Read More

 El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, analizó una serie de backdoors personalizados y herramientas de ciberespionaje no documentadas desplegadas en Israel por el grupo de APT POLONIUM.

Ciudad de México – Investigadores de ESET, compañía líder en detección proactiva de amenazas, revelan sus hallazgos sobre un grupo de APT (amenaza persistente avanzada) sobre el cual hay poca información pública disponible y se desconoce cuál es el vector de compromiso inicial que utiliza. POLONIUM es un grupo de ciberespionaje que fue documentado por primera vez en junio de 2022 por MSTIC y de acuerdo a su evaluación, es un grupo con sede en Líbano que coordina sus actividades con otros actores afiliados al Ministerio de Inteligencia y Seguridad de Irán (MOIS).

 

Según la telemetría de ESET, POLONIUM ha sido utilizado en ataques dirigidos a más de una docena de organizaciones en Israel desde al menos septiembre de 2021, y la actividad más reciente del grupo se registró en septiembre de 2022. Los sectores a los que apuntó este grupo incluyen ingeniería, tecnología de la información, derecho, comunicaciones, marketing y gestión de marca, medios de comunicación, seguros y servicios sociales. Los hallazgos, que fueron presentados a fines de septiembre en la conferencia Virus Bulletin 2022, incluyen las tácticas utilizadas por este grupo, así como detalles sobre una serie de backdoors que no habían sido documentados anteriormente.

 

Puntos destacados:

 

• Enfocado únicamente en objetivos israelíes, POLONIUM atacó a más de una docena de organizaciones en varios mercados verticales, como ingeniería, tecnología de la información, legal, comunicaciones, marketing, medios, seguros y servicios sociales.
• Según los datos de la telemetría de ESET, el grupo ha utilizado al menos siete backdoors personalizados diferentes desde septiembre de 2021 a esta parte y al momento sigue en actividad.
• El grupo desarrolló herramientas personalizadas para tomar capturas de pantalla, registrar pulsaciones de teclado, espiar a través de la cámara web, abrir shells inversas, exfiltrar archivos y más.
• Para la comunicación a través de un servidor de comando y control (C&C), POLONIUM abusa de servicios comunes en la nube como Dropbox, OneDrive y Mega.

 

Las numerosas versiones y cambios que POLONIUM introdujo en sus herramientas personalizadas muestran un esfuerzo continuo y de largo plazo del grupo para espiar a sus objetivos. Si bien desde ESET no se ha observado qué comandos ejecutaron los operadores en las máquinas comprometidas, se puede inferir de su conjunto de herramientas que están interesados ​​en recopilar datos confidenciales de los sistemas de sus víctimas. El grupo no parece participar en acciones de sabotaje o ransomware.

 

 

El conjunto de herramientas de POLONIUM está compuesto por siete backdoors personalizadas, que son: CreepyDrive, que abusa de los servicios en la nube de OneDrive y Dropbox para C&C; CreepySnail, que ejecuta comandos recibidos desde la propia infraestructura de los atacantes; DeepCreep y MegaCreep, que utilizan los servicios de almacenamiento de archivos de Dropbox y Mega, respectivamente; y FlipCreep, TechnoCreep y PapaCreep, que reciben comandos de los servidores del atacante. El grupo también ha utilizado varios módulos personalizados para espiar a sus objetivos.

 

“Si bien no se identificó cómo el grupo obtuvo acceso inicial a los sistemas de las víctimas, algunas de las credenciales para la cuenta VPN de Fortinet de las víctimas fueron filtradas en septiembre de 2021 y luego publicadas en línea. Por lo tanto, es posible que los atacantes obtuvieran acceso a las redes internas de las víctimas abusando de las credenciales de VPN filtradas. POLONIUM es un grupo en actividad que constantemente introduce modificaciones a las herramientas personalizadas que utiliza y que hemos observado más de 10 módulos maliciosos diferentes desde que comenzamos a monitorear la actividad del grupo. La mayoría de estos módulos han sido actualizados a lo largo del tiempo y muchos de ellos cuentan con varias versiones o con cambios menores para una versión determinada. Además, mencionamos que los reportes públicos y de inteligencia sobre POLONIUM son escasos y limitados, probablemente porque los ataques que realiza el grupo son muy dirigidos y porque el vector de acceso inicial no se conoce. Igualmente, el equipo de ESET Research continuará monitoreando la actividad del grupo y documentando sus ataques”, comenta Matías Porolli, Investigador de Malware de ESET.

 

Algunas de las características más interesantes según ESET del conjunto de herramientas que utiliza este grupo son:

 

• Abundancia de herramientas: se observaron siete backdoors personalizados diferentes utilizados por el grupo desde septiembre de 2021, y también otros módulos maliciosos utilizados para registrar pulsaciones de teclado, tomar capturas de pantalla, ejecutar comandos de manera remota en el equipo víctima, tomar fotos a través de la cámara web o exfiltrar archivos.
• Herramientas personalizadas: en varios ataques llevados adelante por este grupo en un corto período de tiempo, se detectó que el mismo componente contenía cambios menores. En algunos otros casos se observó un módulo, escrito desde cero, que seguía la misma lógica que algunos componentes anteriores. Solo en unos pocos casos se observó al grupo usar herramientas o códigos disponibles de forma pública. Todo esto nos indica que POLONIUM crea y mantiene sus propias herramientas.
• Servicios en la nube: el grupo abusa de servicios en la nube como Dropbox, OneDrive y Mega para las comunicaciones de C&C (recibir comandos y exfiltrar datos).
• Componentes más pequeños: la mayoría de los módulos maliciosos del grupo son pequeños, con una funcionalidad limitada. En un caso, los atacantes usaron un módulo para tomar capturas de pantalla y otro para subirlas al servidor de C&C. Siguiendo el mismo criterio, al grupo le gusta dividir el código en sus backdoors, distribuyendo la funcionalidad maliciosa en varias DLL pequeñas, tal vez esperando que los defensores o investigadores no observen la cadena de ataque completa.

Para conocer los detalles técnicos de los módulos maliciosos CreepyDrive, CreepySnail, DeepCreep, MegaCreep, FlipCreep, TechnoCreep, PapaCreep utilizados por POLONIUM, así como información sobre otros módulos la infraestructura de red y los Indicadores de Compromiso, por favor acceda a: POLONIUM targets Israel with Creepy malware.

Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/10/11/grupo-ciberespionaje-polonium-ataques-organizaciones-israel-malware/

 

Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:

https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw

Grupo de ciberespionaje ataca a organizaciones de Israel con malware personalizado

• Ciberespionaje Israel Malware Organizaciones
• At 10/11/2022 11:54:00 p.m.
• Leave a Comment

Read More