Los piratas informáticos chinos difunden la herramienta SMS Bomber que contiene malware oculto

Herramienta de bombardeo de SMS gratis

Un grupo de amenazas con vínculos con un grupo de piratería llamado Soldado tropical ha sido detectado utilizando un malware previamente no documentado codificado en lenguaje Nim para atacar objetivos como parte de una campaña recién descubierta.

El nuevo cargador, llamado Nimbda, está "incluido con una herramienta 'SMS Bomber' de greyware en idioma chino que probablemente se distribuya ilegalmente en la web de habla china", dijo la empresa de ciberseguridad israelí Check Point. dijo en un informe

"Quienquiera que hizo el cargador Nim tuvo especial cuidado en darle el mismo ícono ejecutable que el bombardero SMS que cae y se ejecuta", dijeron los investigadores. "Por lo tanto, todo el paquete actúa como un binario troyano".

Como su nombre lo indica, SMS Bomber permite que un usuario ingrese un número de teléfono (que no es el suyo) para inundar el dispositivo de la víctima con mensajes y potencialmente inutilizarlo en un llamado ataque de denegación de servicio (DoS).

El hecho de que el binario se duplique como un bombardero de SMS y una puerta trasera sugiere que los ataques no solo están dirigidos a aquellos que usan la herramienta, un "objetivo bastante poco ortodoxo", sino también a una naturaleza altamente dirigida.

Soldado tropicalTambién conocido por los apodos de Earth Centaur, KeyBoy y Pirate Panda, tiene un historial de atacar objetivos en Taiwán, Hong Kong y Filipinas, principalmente dirigidos a industrias gubernamentales, de atención médica, de transporte y de alta tecnología.

Trend Micro calificó al colectivo de habla china como "particularmente avanzado y bien equipado", destacando la capacidad del grupo para desarrollar sus TTP el año pasado para permanecer bajo el radar y confiar en una amplia variedad de herramientas personalizadas para comprometer sus objetivos.

La última cadena de ataque documentada por Check Point comienza con la herramienta manipulada de SMS Bomber, el cargador Nimbda, que lanza un archivo ejecutable incrustado, en este caso la carga útil legítima de SMS Bomber, mientras que también incluye una parte separada del código shell en un bloc de notas. Se inyecta el proceso .exe. †

Esto inicia un proceso de infección de tres niveles que implica la descarga de un archivo binario de la siguiente etapa desde una dirección IP ofuscada especificada en un archivo de descuento ("EULA.md") alojado en un repositorio GitHub o Gitee controlado por el atacante.

El binario recuperado es una versión mejorada de un troyano llamado Yahoyah que está diseñado para recopilar información sobre redes inalámbricas locales en las cercanías de la máquina víctima, así como otros metadatos del sistema, y ​​enviar los detalles a un servidor de comando y control (C2).

Yahoyah, por su parte, también actúa como conducto para recuperar el malware de etapa final, que se descarga en forma de imagen desde el servidor C2. La carga útil codificada esteganográficamente es una puerta trasera conocida como TClient y ha sido implementada por el grupo en campañas anteriores.

"El grupo de actividad observado pinta una imagen de un actor concentrado y determinado con un objetivo claro en mente", concluyeron los investigadores.

"Por lo general, cuando las herramientas benignas (o benignas) de terceros se eligen a mano para insertarlas en una cadena de infección, se eligen para que sean lo más discretas posible; la elección de una herramienta 'SMS Bomber' para este propósito es preocupante, y cuenta toda una historia en el momento en que uno se atreve a extrapolar un motivo y una víctima prevista".


Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Configurar y más información
Privacidad