Home Ciberguerra El grupo Dark Pink APT despliega KamiKakaBot contra entidades del sur de...

El grupo Dark Pink APT despliega KamiKakaBot contra entidades del sur de Asia

El actor de amenazas conocido como Dark Pink ha sido asociado con despliegues del malware KamiKakaBot contra múltiples entidades gubernamentales en países de la ASEAN (Asociación de Naciones del Sudeste Asiático).

Los investigadores de amenazas de EclecticIQ comentaron los hallazgos en una entrada de blog publicada la semana pasada, explicando que los ataques observados tuvieron lugar en febrero.

El equipo explicó que las campañas maliciosas eran casi idénticas a las descubiertas anteriormente por Group-IB.

El malware KamiKakaBot, entregado a través de correos electrónicos de phishing durante los últimos ataques de Dark Pink, tiene como objetivo robar credenciales, historial de navegación y cookies de navegadores como Chrome, Edge y Firefox. El malware también cuenta con capacidades de ejecución remota de código (RCE).

“Los desarrolladores de KamiKakaBot emplean varias técnicas de evasión para pasar desapercibidos mientras ejecutan acciones maliciosas en los dispositivos infectados”, escribió EclecticIQ. “Por ejemplo, utilizan binarios “living-off-the-land” (LOLBINs) […] para ejecutar el malware KamiKakaBot en los dispositivos de las víctimas”.

También utilizaban servicios web legítimos como servidor de Mando y Control (C2), en particular Telegram, para ocultar aún más sus intenciones maliciosas.

Para proteger los sistemas contra Dark Pink y amenazas similares, EclecticIQ recomienda a las empresas utilizar el modo de búsqueda DLL segura, deshabilitar el montaje de imágenes ISO a través de políticas de grupo y deshabilitar el guardado de contraseñas del navegador también a través de políticas de grupo, así como desplegar el nivel más alto de protección en firewalls y endpoints.