Home Sociedad Los ciberdelincuentes chinos apuntan a las empresas asiáticas de apuestas

Los ciberdelincuentes chinos apuntan a las empresas asiáticas de apuestas

Se ha observado que los piratas informáticos chinos vinculados a grupos apoyados por el Estado tienen como objetivo las empresas de juegos de azar del sudeste asiático como parte de otra campaña de ciberespionaje.

Un nuevo informe de Trend Micro y Talent-Jump Technologies, Uncovering DRBControl, detalla el trabajo del grupo homónimo, cuyas actividades fueron descubiertas en 2019.

Los atacantes primero despliegan un correo electrónico de spear-phishing que contiene archivos .DOCX, que desencadenan una descarga de malware de puerta trasera si se abre.

“La campaña utiliza dos puertas traseras no identificadas previamente. Familias conocidas de malware como PlugX y el backdoor HyperBro, así como herramientas personalizadas de post-explotación también se encontraron en el arsenal del atacante”, afirmó Trend Micro.

“Curiosamente, uno de los backdoors utilizaba el servicio de alojamiento de archivos Dropbox como su canal de mando y control (C&C)”.

El grupo también utiliza Dropbox para entregar diferentes cargas útiles a las víctimas, y para almacenar comandos, herramientas de post-explotación y archivos robados.

Las herramientas de post-explotación utilizadas por el grupo van desde volcadores de contraseñas y ladrones de portapapeles hasta herramientas de desviación de UAC, cargadores de códigos y herramientas de fuerza bruta.

DRBControl también utiliza malware asociado con los grupos Winnti y Emisario Panda vinculados al estado, aunque no está claro si la campaña en sí tiene vínculos con Beijing.

“Los vínculos con el grupo Winnti van desde los mutex hasta los nombres de dominio y los comandos emitidos”, dijo Trend Micro. “La puerta trasera del HyperBro, que parece ser exclusiva del Emisario Panda, también se utilizó en esta campaña”.

La campaña está en curso, y se cree que los investigadores han detectado cientos de puntos finales comprometidos en la región.

Dado que los datos exfiltrados hasta ahora han consistido en bases de datos internas y código fuente, se cree que los criminales se centran en el ciber-espionaje y en obtener inteligencia competitiva, según el informe.

Con información de: Info Security Magazine.