Los especialistas en seguridad de la información de Cluster25 encontraron un nuevo malware SkinnyBoy, que fue utilizado por el grupo de piratas informáticos de habla rusa APT28 (también conocido como Fancy Bear, Sednit, Sofacy, Strontium y PwnStorm) durante ataques de phishing dirigidos a instituciones militares y gubernamentales a principios de este año.
SkinnyBoy estaba destinado a etapas intermedias del ataque: recopilar información sobre la víctima y recibir la siguiente carga útil del servidor de comando y control. Según los investigadores, APT28 lanzó esta campaña de phishing a principios de marzo de 2021, centrando los ataques en ministerios de relaciones exteriores, embajadas, industrias de defensa y el sector militar en países de la UE, aunque los investigadores señalan que los ataques pueden haber afectado también a organizaciones en Estados Unidos.
SkinnyBoy se entrega a través de documentos de Microsoft Word que tienen una macro incrustada que extrae un archivo DLL que actúa como un descargador de malware. El anzuelo de estos anexos postales fueron las falsas invitaciones a un evento científico internacional que se celebrará en España a finales de julio.
El objetivo principal de SkinnyBoy es extraer información sobre el sistema infectado, así como descargar y lanzar la última carga útil en la máquina de la víctima, cuyo propósito sigue siendo desconocido por el momento. La recopilación de datos del sistema se llevó a cabo utilizando las herramientas systeminfo.exe y tasklist.exe ya disponibles en Windows.
Cluster25 señala que los atacantes utilizaron servicios VPN comerciales para interactuar con elementos de su infraestructura con el fin de despistar a los especialistas.
Foto: Cluster25
Fuente: https://xakep.ru/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila
0 Comentarios