Home Ciberguerra Piratas informáticos rusos de Colddriver implementan malware para atacar a funcionarios occidentales

Piratas informáticos rusos de Colddriver implementan malware para atacar a funcionarios occidentales

El grupo de amenazas ruso Coldriver ha ampliado su objetivo de atacar a funcionarios occidentales con el uso de malware para robar datos confidenciales, según reveló el Grupo de Análisis de Amenazas (TAG) de Google.

Coldriver, también conocido como Star Blizzard, está vinculado al servicio de inteligencia ruso, el FSB. Se sabe que se centra en campañas de phishing de credenciales dirigidas a ONG de alto perfil, ex oficiales militares y de inteligencia y gobiernos de la OTAN con fines de espionaje.

En diciembre de 2023, el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido dijo que el grupo estaba detrás de una campaña cibernética sostenida destinada a interferir en la política y los procesos democráticos del Reino Unido.

Recientemente, TAG dijo que había observado que Coldriver iba más allá del phishing para obtener credenciales y entregaba malware capaz de extraer información confidencial del objetivo.

Coldriver a menudo se hace pasar por cuentas, haciéndose pasar por un experto en un campo en particular, para establecer una relación con el objetivo antes de enviar un enlace de phishing diseñado para robar sus credenciales.

Los piratas informáticos rusos envían a sus objetivos documentos PDF benignos, a menudo presentados como un artículo que la cuenta de suplantación dice querer publicar, solicitando comentarios.

Cuando el destinatario abre el PDF, ve el texto que aparece cifrado.

Si luego responden que no pueden leer el documento cifrado, la cuenta de suplantación envía un enlace a lo que afirma ser una utilidad de “descifrado”, generalmente alojada en un sitio de almacenamiento en la nube.

Cuando se hace clic en ella, la utilidad de descifrado también muestra un documento señuelo, pero en realidad es una puerta trasera llamada SPICA. Esto le da al atacante acceso a la máquina de la víctima.

TAG cree que SPICA es el primer malware personalizado desarrollado y utilizado por Coldriver. Está escrito en lenguaje Rust y utiliza JSON sobre websockets para comando y control (C2).

Una vez ejecutado en un dispositivo, SPICA abre un documento PDF señuelo para el usuario mientras establece persistencia en segundo plano e inicia el bucle C2 principal. Esto se logra mediante un comando de Powershell ofuscado que crea una tarea programada llamada CalendarChecker.

El malware es capaz de admitir una serie de comandos relacionados con la filtración de datos, que incluyen:

-Ejecutar comandos de shell arbitrarios

-Subir y descargar archivos

-Robar cookies de Chrome, Firefox, Opera y Edge

-Examinar el sistema de archivos enumerando su contenido

-Enumerar documentos y extraerlos en un archivo

TAG dijo que puede haber múltiples versiones de la puerta trasera SPICA, cada una con un documento señuelo incrustado diferente para que coincida con el documento señuelo enviado a los objetivos.

Se ha observado que Coldriver implementa SPICA desde septiembre de 2023. Sin embargo, TAG cree que el uso de la puerta trasera por parte del grupo se remonta al menos a noviembre de 2022.

Google ha agregado todos los dominios y hashes conocidos a sus listas de bloqueo de Navegación segura para interrumpir la campaña Coldriver. Dio los siguientes consejos a los objetivos potenciales para que se defendieran:

Asegúrese de que todos los dispositivos estén actualizados y tengan habilitada la herramienta de navegación segura mejorada para el navegador Chrome.

Lea las últimas investigaciones para reconocer las tácticas y técnicas utilizadas por grupos como Coldriver

El 18 de enero de 2024, Microsoft detalló una campaña de ingeniería social altamente sofisticada por parte de actores de amenazas vinculados a Irán dirigida a expertos en el conflicto entre Israel y Hamas.