Home Ciberguerra Grupo ruso de ciberespionaje implementa el gusano USB LitterDrifter en ataques dirigidos...

Grupo ruso de ciberespionaje implementa el gusano USB LitterDrifter en ataques dirigidos a Ucrania

Se ha observado que actores rusos de ciberespionaje afiliados al Servicio Federal de Seguridad (FSB) utilizan un gusano de propagación USB llamado LitterDrifter en ataques dirigidos a entidades ucranianas.

Check Point, que detalló las últimas tácticas de Gamaredon (también conocido como Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm y Winterflounder), calificó al grupo de participar en campañas a gran escala seguidas de “esfuerzos de recopilación de datos dirigidos a objetivos específicos, cuya selección probablemente esté motivado por objetivos de espionaje”.

El gusano LitterDrifter incluye dos características principales: propagar automáticamente el malware a través de unidades USB conectadas y comunicarse con los servidores de comando y control (C&C) del actor de la amenaza. También se sospecha que es una evolución de un gusano USB basado en PowerShell que Symantec reveló previamente en junio de 2023.

Escrito en VBS, el módulo esparcidor es responsable de distribuir el gusano como un archivo oculto en una unidad USB junto con un señuelo LNK al que se le asignan nombres aleatorios. El malware recibe su nombre LitterDrifter debido al hecho de que el componente de orquestación inicial se llama “trash.dll”.

“El enfoque de Gamaredon hacia C&C es bastante único, ya que utiliza dominios como marcador de posición para las direcciones IP circulantes que realmente se utilizan como servidores C2”, explicó Check Point.

LitterDrifter también es capaz de conectarse a un servidor C&C extraído de un canal de Telegram, una táctica que ha utilizado repetidamente desde al menos principios de año.

La firma de ciberseguridad dijo que también detectó signos de posible infección fuera de Ucrania según los envíos de VirusTotal de EE. UU., Vietnam, Chile, Polonia, Alemania y Hong Kong.