El grupo de APT DeathStalker lanza el malware VileRAT contra empresas de criptodivisas
- Endpoint
VileRat suele distribuirse tras una compleja cadena de ataques que comienzan con correos de spearphishing o aprovechando los chatbots integrados en las webs de las empresas. Sus ataques van dirigidos a todo el mundo y tanto a empresas de nueva creación como a grandes líderes de la industria.
Los analistas de Kaspersky han rastreado las campañas del grupo de hackers DeathStalker, y han descubierto que el actor de APT actualizó el conjunto de herramientas evasivas "VileRat" para atacar este año a empresas cambio de criptomonedas y divisas.
DeathStalker se dirige principalmente a bufetes de abogados y organizaciones del sector financiero, y sus sus ataques no parecen tener una motivación política o económica. Los analistas de Kaspersky creen que DeathStalker actúa como una organización mercenaria, ofreciendo servicios especializados de hacking. A mediados de ese año, los expertos de la compañía descubrieron una nueva infección altamente evasiva, basada en el implante Python VileRAT, que se dirigía a empresas de comercio de divisas (FOREX) y criptodivisas de todo el mundo.
VileRat suele distribuirse tras una compleja cadena de ataques que comienzan con correos electrónicos de spearphishing. Este verano, los atacantes también aprovecharon los chatbots integrados en las webs públicas de las empresas objetivo para enviar documentos maliciosos. Los documentos DOCX se nombran frecuentemente con las palabras clave "compliance" o "complaint" (así como el nombre de la empresa objetivo), sugiriendo que el atacante está respondiendo a una solicitud de identificación o informando de un problema, con el fin de ocultar el ataque.
VileRat no muestra ningún interés en dirigirse a países concretos, con organizaciones comprometidas en Bulgaria, Chipre, Alemania, las Islas Granadinas, Kuwait, Malta, los Emiratos Árabes Unidos y Rusia. Cabe señalar que las organizaciones identificadas van desde empresas de nueva creación hasta los grandes líderes de la industria.
“Escapar de la detección siempre ha sido un objetivo para DeathStalker, desde que lo rastreamos. Pero la campaña de VileRAT llevó esta búsqueda a otro nivel: es sin duda la campaña más intrincada, ofuscada y tentativamente evasiva que hemos identificado de este actor. Creemos que las tácticas y prácticas de DeathStalker son suficientes (y han demostrado serlo) para actuar sobre objetivos sin la experiencia suficiente para soportar el ataque en las que la seguridad no es una de sus principales prioridades", comenta Pierre Delcher, Investigador Senior de Seguridad en el GReAT de Kaspersky.