Un desconocido actor de amenazas apodado NewsPenguin ha sido vinculado a una campaña de phishing dirigida a entidades pakistaníes aprovechando la próxima exposición marítima internacional como señuelo.
“El atacante envió correos electrónicos de phishing dirigidos con un documento adjunto armado que pretende ser un manual del expositor para PIMEC-23”, dijo el Equipo de Investigación e Inteligencia de BlackBerry.
PIMEC, abreviatura de Exposición y Conferencia Marítima Internacional de Pakistán, es una iniciativa de la Marina de Pakistán y está organizada por el Ministerio de Asuntos Marítimos con el objetivo de “impulsar el desarrollo del sector marítimo”. Está previsto que se celebre del 10 al 12 de febrero de 2023.
Según la empresa canadiense de ciberseguridad, los ataques están diseñados para atacar a entidades relacionadas con el sector marítimo y a los visitantes del evento, engañando a los destinatarios de los mensajes para que abran el documento de Microsoft Word, aparentemente inofensivo.
Una vez abierto el documento, se emplea un método denominado inyección remota de plantillas para obtener la carga útil de la siguiente fase de un servidor controlado por el actor y configurado para devolver el artefacto sólo si la solicitud se envía desde una dirección IP situada en Pakistán.
Según BlackBerry, el servidor albergaba dos archivos ZIP sin protección por contraseña, uno de los cuales incluía un ejecutable de Windows (updates.exe) que funcionaba como una herramienta de espionaje encubierta capaz de eludir entornos aislados y máquinas virtuales.
Además, el contenido del binario está cifrado con el algoritmo de cifrado XOR, donde la clave XOR es “penguin”. La respuesta HTTP que contiene el backdoor también viene con el parámetro name en la cabecera de respuesta Content-Disposition configurado como “getlatestnews”.
El nombre NewsPenguin es una referencia a la clave XOR poco común y al parámetro de nombre, sin que BlackBerry haya encontrado coincidencias tácticas que conecten el malware con ningún actor o grupo de amenazas conocido actualmente.
Un análisis del dominio que aloja las cargas útiles muestra que está registrado desde el 30 de junio de 2022, lo que indica cierto nivel de planificación anticipada de la campaña, al tiempo que se toman medidas para iterar su conjunto de herramientas.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian