El actor de amenazas ScarCruft desarrolla nuevas tácticas y herramientas

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Los investigadores de Kaspersky Lab que monitorizan la actividad de ScarCruft, un actor experto en amenazas de habla coreana, han descubierto que el grupo está probando y creando nuevas herramientas y técnicas, y que extiende tanto el rango como el volumen de información recopilada de las víctimas. Entre otras cosas, el grupo ha creado un código capaz de identificar los dispositivos Bluetooth conectados.

Se cree que el actor de amenazas persistentes avanzadas (APT) ScarCruft está patrocinado por el estado y generalmente se dirige a entidades gubernamentales y empresas con enlaces a la península de Corea, aparentemente en busca de información de interés político. En la última actividad observada por Kaspersky Lab, hay indicios de que el actor de amenazas está evolucionando, probando nuevos exploits, desarrollando un interés en los datos recopilados en dispositivos móviles y mostrando ingenio para adaptar herramientas y servicios legítimos a sus operaciones de ciberespionaje.

Los ataques del grupo comienzan con phishing o con el compromiso de un sitio web estratégico, utilizando un exploit u otros trucos para infectar a ciertos visitantes. En el caso de ScarCruft, a esto le sigue una infección capaz de eludir Windows UAC (Control de cuentas de usuario), que permite ejecutar la siguiente carga útil con privilegios más altos. Para evadir la detección a nivel de red, el malware utiliza la esteganografía y oculta el código malicioso en un archivo de imagen. La etapa final de la infección implica la instalación de un backdoor basado en el servicio en la nube conocido como ROKRAT. La puerta trasera recopila una amplia gama de información de los sistemas y dispositivos de las víctimas, y puede reenviarla a cuatro servicios en la nube: Box, Dropbox, pCloud y Yandex.Disk.

Los investigadores de Kaspersky Lab descubrieron un interés en el robo de datos de dispositivos móviles, así como en el malware que detecta huellas digitales en dispositivos Bluetooth utilizando la API de Windows Bluetooth.

Según los datos de telemetría, las víctimas de esta campaña incluyen compañías de inversión y comercio en Vietnam y Rusia que pueden tener vínculos con Corea del Norte y entidades diplomáticas en Hong Kong y Corea del Norte. Se descubrió que una víctima con sede en Rusia infectada por ScarCruft había sido atacada previamente por el grupo coreano DarkHotel.