FadeStealer

El grup de pirateria APT37 també conegut com a StarCruft, Reaper o RedEyes, s'ha observat recentment fent servir un programari maliciós que roba informació recentment descobert anomenat FadeStealer. Aquest sofisticat programari maliciós incorpora una capacitat d'"escoltes telefòniques", que permet als actors de l'amenaça interceptar i gravar àudio dels micròfons de les víctimes en secret.

Es creu àmpliament que APT37 és un grup de pirateria patrocinat per l'estat amb un historial important de realitzar operacions de ciberespionatge alineades amb els interessos de Corea del Nord. Els seus objectius han inclòs desertors de Corea del Nord, institucions educatives i organitzacions amb seu a la Unió Europea.

En campanyes anteriors, aquest grup ha utilitzat programari maliciós personalitzat com ara 'Dolphin' i ' M2RAT ' per dur a terme els seus ciberatacs. Aquestes eines amenaçadores es van dissenyar específicament per infiltrar-se en dispositius Windows, inclosos els telèfons mòbils connectats, i facilitar diverses activitats malicioses, com ara l'execució d'ordres, robatori de dades, recollida de credencials i captura de captures de pantalla.

Un programari maliciós personalitzat de la porta posterior ofereix l'amenaça FadeStealer

Els investigadors de seguretat han descobert recentment detalls sobre un altre programari maliciós personalitzat utilitzat en atacs d'APT37, conegut com la porta del darrere d'AblyGo. Al costat de FadeStealer, aquestes eines no desitjades estan dissenyades per infiltrar-se en sistemes dirigits i facilitar diverses activitats nocives.

El mètode de lliurament inicial d'aquest programari maliciós inclou correus electrònics de pesca que contenen arxius adjunts. Aquests arxius consisteixen en documents de Word i processadors de textos Hangul protegits amb contrasenya (fitxers .docx i .hwp), juntament amb un fitxer CHM de Windows "password.chm". És molt probable que els correus electrònics de pesca indiquen als destinataris que obrin el fitxer CHM per obtenir la contrasenya necessària per desbloquejar els documents. Tanmateix, sense que les víctimes ho sàpiguen, aquesta acció desencadena el procés d'infecció als seus dispositius Windows.

En obrir el fitxer CHM, un missatge enganyós mostrarà la suposada contrasenya per desbloquejar els documents. Simultàniament, el fitxer descarrega i executa discretament un script PowerShell remot, que serveix com a porta posterior amb funcionalitat avançada. Aquesta porta posterior de PowerShell estableix la comunicació amb els servidors de comandament i control (C2) dels atacants, cosa que els permet executar ordres al sistema compromès de manera remota.

A més, la porta del darrere facilita el desplegament d'una porta del darrere addicional coneguda com a "porta del darrere AblyGo" durant les etapes posteriors de l'atac. Aquesta nova porta del darrere aprofita la plataforma Ably, un servei d'API que els desenvolupadors utilitzen per incorporar funcions en temps real i lliurament d'informació a les seves aplicacions. Mitjançant l'ús de la plataforma Ably com a plataforma C2, els actors de l'amenaça poden enviar ordres codificades en base64 a la porta posterior per executar-les i rebre la sortida. Aquest enfocament els permet ofuscar les seves activitats malicioses dins del trànsit de xarxa legítim, cosa que fa que sigui més difícil detectar i controlar les seves operacions.

La "porta del darrere d'AblyGo" té un paper crucial en la campanya d'espionatge cibernètic, permetent als actors de l'amenaça dur a terme una escalada de privilegis, exfiltrar dades sensibles i oferir components de programari maliciós addicionals. Mitjançant l'ús de plataformes legítimes com Ably, els actors de l'amenaça pretenen evadir el programari de seguretat i monitorització de la xarxa, augmentant així l'eficàcia dels seus atacs.

Les capacitats d'amenaça que es troben a l'amenaça de FadeStealer

Finalment, les portes del darrere ofereixen FadeStealer com a càrrega útil final. L'amenaça és un programari maliciós que roba informació molt potent dissenyat específicament per a dispositius Windows. Un cop instal·lat, FadeStealer utilitza una tècnica anomenada càrrega lateral de DLL per injectar-se en el procés legítim "ieinstall.exe" d'Internet Explorer, camuflant-ne efectivament la presència.

FadeStealer funciona de manera sigilosa en segon pla, recopilant discretament una àmplia gamma d'informació sensible del dispositiu compromès. A intervals regulars de 30 minuts, el programari maliciós captura captures de pantalla de la pantalla de la víctima, registra les pulsacions de tecles registrades i recopila fitxers de qualsevol telèfon intel·ligent o dispositiu extraïble connectat. A més, FadeStealer té la capacitat d'enregistrar àudio a través del micròfon del dispositiu, cosa que permet als actors de l'amenaça darrere de l'atac escoltar les converses i recollir informació addicional.

Les dades recollides s'emmagatzemen en carpetes %Temp% específiques, cadascuna amb un propòsit diferent dins del procés d'exfiltració de dades. Les captures de pantalla fetes pel programari maliciós s'emmagatzemen a la carpeta %temp%\VSTelems_Fade\NgenPdbc, mentre que les pulsacions de tecles registrades s'emmagatzemen a %temp%\VSTelems_Fade\NgenPdbk. La carpeta %temp%\VSTelems_Fade\NgenPdbm està dedicada a emmagatzemar dades obtingudes mitjançant l'escolta del micròfon. A més, la carpeta %temp%\VSTelems_FadeIn s'utilitza per recollir dades dels telèfons intel·ligents connectats, mentre que la carpeta %temp%\VSTelems_FadeOut serveix com a ubicació d'emmagatzematge per a les dades recopilades dels dispositius multimèdia extraïbles. Aquestes carpetes específiques garanteixen que les dades recollides estiguin organitzades i accessibles per als actors de l'amenaça que orquestren la campanya d'espionatge cibernètic.

Per mantenir l'eficiència i facilitar l'emmagatzematge de dades, FadeStealer recull la informació robada en fitxers d'arxiu RAR. Això permet al programari maliciós comprimir i organitzar les dades robades, assegurant-se que romanguin ocultes i fàcilment transportables per a l'exfiltració posterior dels actors de l'amenaça.