El grupo de ciberdelincuentes APT37, también conocido como ‘RedEyes’ o ‘ScarCruft’, está utilizando un nuevo malware, M2RAT, para recopilar información de usuarios de sus teléfonos móviles y equipos Windows.

APT37 es un grupo de ciberdelincuentes dedicado al ciberespionaje con origen en Corea del Norte, y se sospecha que cuenta con el apoyo del Estado. Se le atribuye la explotación de vulnerabilidades de día cero en Internet Explorer el pasado año y la distribución de una amplia variedad de malware contra entidades y usuarios específicos.

Entre otros, se dirigieron a organizaciones con sede en la Unión Europea con una nueva versión de su puerta trasera móvil ‘Dolphin’, implementaron un RAT personalizado (troyano de acceso remoto) llamado ‘Konni’, y se dirigieron a periodistas estadounidenses con un malware altamente personalizable.

Según un reciente informe de AhnLab Security Emergency Response Center (ASEC), está utilizando ahora APT37 una nueva variedad de malware llamada M2RAT. Este utiliza una sección de memoria compartida para la filtración de datos y deja muy pocos rastros operativos en la máquina infectada.

El modus operandi de APT37

Los recientes ataques observados por ASEC empezaron en enero de 2023, cuando este grupo de ciberdelincuentes envió a sus objetivos una serie de correos electrónicos de phishing que contenían un archivo adjunto malicioso.

Al abrir el archivo adjunto se explota una antigua vulnerabilidad EPS (CVE-2017-8291) en el procesador de texto Hangul, muy utilizado en Corea del Sur. El exploit hace que se ejecute un shellcode en el equipo de la víctima que descarga y ejecuta un malware almacenado en una imagen JPEG.

Este archivo JPG utiliza una técnica que permite ocultar el código dentro de los archivos para introducir el ejecutable M2RAT («lskdjfei.exe») en el sistema e inyectarlo en «explorer.exe».

Para la persistencia en el sistema, el malware añade un nuevo valor («RyPO») en la clave de registro «Ejecutar», con comandos para ejecutar un script de PowerShell a través de «cmd.exe». Este mismo comando también se vio en un informe de Kaspersky de 2021 sobre APT37.

Nuevo malware M2RAT troyano robo de datos APT37 RedEyes smartphones Windows ASEC noticia bit life media
Fuente: ASEC

M2RAT, así actúa este malware

M2RAT actúa como un troyano de acceso remoto básico que registra las pulsaciones de las teclas, roba datos, ejecuta instrucciones y hace capturas de pantalla desde el escritorio.

La función de captura de pantalla se activa periódicamente y funciona de forma autónoma sin necesidad de un comando específico del operador.

Una vez recopilada toda la información del dispositivo infectado, se envía a un servidor C2 (de comando y control) para que los atacantes la revisen. Además, el malware tiene capacidad para buscar dispositivos portátiles conectados a Windows, como smartphones o tablets.

Cuando detecta un dispositivo móvil, escanea el contenido del dispositivo en busca de documentos y archivos de grabación de voz y, cuando los encuentra, los copia al PC para filtrarlos al servidor dl grupo de ciberdelincuentes.

Antes, los datos se comprimen en un archivo RAR protegido con contraseña y la copia local se borra de la memoria para eliminar cualquier rastro.

Otra característica de M2RAT es que utiliza una sección de memoria compartida para la comunicación de comando y control (C2), la filtración de datos y la transferencia directa de datos robados al servidor sin almacenarlos en el sistema comprometido.

Esto hace que la detección de esta amenaza sea más complicada. Mientras, el grupo de ciberdelincuentes sigue actualizando sus herramientas con malware cada vez mas complicado de detectar y analizar robando información a organizaciones y usuarios.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre