Threat Database Malware KamiKakaBot

KamiKakaBot

S'ha detectat una nova onada de ciberatacs dirigits a organitzacions governamentals i militars dels països del sud-est asiàtic. Aquests atacs s'atribueixen al grup Dark Pink APTAdvanced Persistent Threat (Advanced Persistent Threat), també conegut com Saaiwc. Entre les eines personalitzades que utilitza Dark Pink hi ha TelePowerBot i KamiKakaBot, que permeten al grup executar ordres arbitràries i robar dades sensibles dels dispositius infectats.

Es creu que el rosa fosc és originari de la regió Àsia-Pacífic i ha estat actiu des de, almenys, a mitjan 2021. Tanmateix, les seves activitats van augmentar el 2022 i el 2023, com ho demostren els recents atacs contra entitats governamentals i militars al sud-est asiàtic. L'ús de programari maliciós sofisticat com ara KamiKakaBot subratlla les capacitats i la determinació del grup per assolir els seus objectius. Aquests atacs suposen una greu amenaça per a la seguretat nacional i posen de manifest la necessitat d'una major vigilància i mesures proactives per mitigar el risc d'atacs cibernètics.

Els pirates informàtics utilitzen tàctiques de pesca i documents enganyats

Segons un informe recent de la firma holandesa de ciberseguretat EclecticIQ, el febrer de 2023 es va descobrir una nova onada d'atacs que s'assemblaven molt als atacs anteriors. Tanmateix, hi va haver una diferència significativa en aquesta campanya: la rutina d'ofuscament del programari maliciós es va millorar per evitar millor la detecció mitjançant mesures anti-programari maliciós.

Els atacs segueixen una estratègia d'enginyeria social que consisteix a enviar missatges de correu electrònic que contenen fitxers adjunts d'imatge ISO a objectius insospitats. El fitxer d'imatge ISO conté tres components: un executable (Winword.exe), un carregador (MSVCR100.dll) i un document de Microsoft Word seductor. El document de Word és una distracció, mentre que el carregador és responsable de carregar el programari maliciós KamiKakaBot.

Per evadir les proteccions de seguretat, el carregador utilitza el mètode de càrrega lateral DLL per carregar KamiKakaBot a la memòria del binari Winword.exe. Aquest mètode permet al programari maliciós evitar les mesures de seguretat que d'altra manera impedirien que s'executi.

KamiKakaBot pot robar informació sensible dels dispositius violats

KamiKakaBot és un programari maliciós dissenyat per infiltrar-se als navegadors web i robar dades sensibles. Aquest programari maliciós també és capaç d'executar codi remot mitjançant el símbol del sistema (cmd.exe). Per evitar la detecció, el programari maliciós incorpora tècniques sofisticades per integrar-se amb l'entorn de la víctima i evitar la detecció.

Un cop compromès un amfitrió, el programari maliciós estableix la persistència abusant de la biblioteca Winlogon Helper per fer modificacions malicioses a la clau del registre de Windows. Això permet que el programari maliciós no es detecti i continuï realitzant les seves activitats malicioses. Les dades robades s'envien a un bot de Telegram com a arxiu ZIP.

Segons els experts en ciberseguretat, l'ús de serveis web legítims com Telegram com a servidor de comandament i control (C2, C&C) és una tàctica comuna utilitzada pels actors d'amenaça. Aquest enfocament fa que sigui més difícil detectar i apagar el programari maliciós, ja que el trànsit sembla ser una comunicació legítima amb el servei web. Aquestes tàctiques les fan servir no només els ciberdelinqüents habituals, sinó també els actors avançats d'amenaces persistents.

Atesa la creixent sofisticació d'aquests atacs, és fonamental que les organitzacions prenguin mesures proactives per prevenir els ciberatacs. Això inclou la implementació de mesures de seguretat sòlides per protegir-se del programari maliciós, mantenir el programari actualitzat i educar els empleats sobre com identificar i evitar atacs de pesca.

Tendència

Més vist

Carregant...