Home Ciberguerra Una nueva metodología de Spear Phish se basa en el cliente PuTTY...

Una nueva metodología de Spear Phish se basa en el cliente PuTTY SSH para infectar sistemas

Ciberdelincuentes asociados con Corea del Norte están utilizando versiones troyanizadas del emulador de terminal de código abierto PuTTY SSH para instalar puertas traseras en los dispositivos de las víctimas.

Descubierto por Mandiant, el actor de la amenaza responsable de esta campaña sería ‘UNC4034’ (también conocido como Temp.Hermit o Labyrinth Chollima).

La campaña, que trata de engañar a las víctimas para que hagan clic en archivos maliciosos como parte de una falsa evaluación de trabajo en Amazon, se basaría en una anterior, ya existente, llamada ‘Operación Dream Job’.

La metodología utilizada por UNC4034 estaría ahora evolucionando, según Mandiant.

“En julio de 2022, durante las actividades de caza proactiva de amenazas en una empresa del sector de los medios de comunicación, Mandiant Managed Defense identificó una novedosa metodología de spear phish empleada por el grupo de amenazas rastreado como UNC4034”, escribió la compañía.

“UNC4034 estableció comunicación con la víctima a través de WhatsApp y la atrajo para que descargara un paquete ISO malicioso relativo a una falsa oferta de trabajo que conducía al despliegue del backdoor AIRDRY.V2 a través de una instancia troyanizada de la utilidad PuTTY”.

El uso de archivos ISO se ha vuelto cada vez más común en la entrega de malware tanto básico como dirigido, explicó la compañía.

“Mandiant ha observado que actores conocidos, como APT29, han adoptado el uso de archivos ISO para entregar su malware”.

Según el aviso, el ejecutable incrustado en cada archivo ISO por UNC4034 es una aplicación PuTTY totalmente funcional, pero también contiene código malicioso que escribe una carga útil incrustada en el disco y la lanza.

El aviso también incluye varios indicadores técnicos para ayudar a las empresas a detectar la actividad relacionada con UNC4034. Su publicación se produce días después de que las autoridades estadounidenses se incautaran de 30 millones de dólares en criptodivisas robadas a Corea del Norte.