El troyano Milum amplía su alcance con nuevas versiones

Recomendados:  Demostración de un ataque dirigido a entornos OT Webinar Ciberseguridad industrial, protegiendo las redes IT y OT Leer  Ciberseguridad orientada al futuro Leer

Kaspersky ha estado rastreando a Milum, un troyano malicioso utilizado por el actor de amenazas persistentes avanzadas (APT) WildPressure, activo en Oriente Medio, y han descubierto nuevas versiones del malware escrito en diferentes lenguajes de programación, incluida una capaz de infectar y ejecutarse en sistemas Windows y macOS.

A menudo, una vez que un dispositivo está infectado por un troyano, el malware envía una baliza a los servidores de los atacantes, con información sobre el dispositivo infectado, la configuración de red, el nombre de usuario y otra información relevante, lo queayuda a los atacantes a determinar si un dispositivo es de interés. Sin embargo, en el caso de Milum, también envia información sobre el lenguaje de programación en el que fue escrito. Al investigar por primera vez la campaña en 2020, los investigadores de Kaspersky sospecharon que esto apuntaba a la existencia de diferentes versiones de este troyano en diferentes lenguajes, teoría que ha sido confirmada.

En la primavera de 2021, Kaspersky identificó un nuevo ataque de WildPressure, que se llevó a cabo con un conjunto de versiones más recientes del malware Milum. Los archivos descubiertos contenían el Troyano Milum escrito en C++, una variante de Visual Basic Script (VBScript) y otra versión del malware escrito en Python, que fue desarrollado para los sistemas operativos Windows y macOS. Las tres versiones del troyano fueron capaces de descargar y ejecutar comandos desde el operador, recopilar información, y actualizarse a una versión más reciente.

El malware multiplataforma capaz de infectar dispositivos que se ejecutan en macOS es raro. Este espécimen en particular fue entregado en un paquete, que incluía el malware, la biblioteca de Python y un script llamado 'Guard'. Esto permitió que el malware se lanzara tanto en Windows como en macOS con pocos esfuerzos adicionales. Una vez que infecta el dispositivo, el malware ejecuta código dependiente del sistema operativo para la persistencia y la recopilación de datos. En Windows, el script se incluye en un ejecutable con un PyInstaller. El troyano Python también es capaz de comprobar qué soluciones de seguridad se ejecutan en un dispositivo.

"Los operadores de WildPressure mantienen su interés en la misma área geográfica. Los autores de malware desarrollaron múltiples versiones de troyanos similares, y tienen un sistema de control de versiones para ellos. La razón detrás del desarrollo de malware similar en varios lenguajes probablemente sea disminuir la probabilidad de detección. Esta estrategia no es única entre los actores de APT, pero rara vez vemos malware que se adapte para ejecutarse en dos sistemas a la vez, incluso en forma de un script de Python. Otra característica curiosa es que uno de los sistemas operativos objetivo es macOS, lo cual es un objetivo sorprendente dado el interés geográfico del actor", comenta Denis Legezo, investigador senior de seguridad de GReAT, Kaspersky.