CovalentStealer

CovalentStealer és una amenaça de programari maliciós que formava part de les eines amenaçadores desplegades en un atac contra una organització nord-americana que operava al sector de la Base Industrial de Defensa. L'objectiu dels actors de l'amenaça era obtenir dades confidencials i sensibles del seu objectiu. Les altres càrregues útils que es van deixar caure als dispositius incompliments incloïen Impacket, una col·lecció de codi obert de classes Python, les intèrprets web HyperBro RAT i ChinaChopper.

Quan s'executa completament, CovalentStealer pot identificar fitxers compartits al sistema infectat, categoritzar els fitxers i després exfiltrar les dades escollides a un servidor remot sota el control dels seus operadors. L'amenaça emmagatzema els fitxers recollits a OneDrive. CovalentStealer també pot extreure la taula de fitxers mestra associada als volums del sistema de fitxers NT. Tanmateix, les capacitats de l'amenaça s'estenen més enllà de la recollida de dades. Els actors de l'amenaça també podrien utilitzar CovalentStealer per xifrar o desxifrar les dades transferides, així com assegurar la seva comunicació global.

Els detalls sobre l'operació cibercriminal es van revelar en un assessorament de la Ciberseguretat i l'Agència de Seguretat de la Infraestructura (CISA), l'Oficina Federal d'Investigacions (FBI) i l'Agència de Seguretat Nacional (NSA). Les agències afirmen que creuen que els actors de l'amenaça són un grup APT (Amenaça persistent avançada), que ha tingut accés a l'entorn intern de la víctima durant un temps prolongat.