Un grupo de ciberespionaje que se ha enfocado en la aplicación de la ley palestina el año pasado ahora está de vuelta en acción apuntando a los funcionarios del gobierno palestino
Estos ataques recientes comenzaron en marzo de 2018, según la evidencia presentada por la empresa de seguridad cibernética Check Point, con sede en Israel. Los nuevos ataques parecen ajustarse al mismo modus operandi de un grupo detallado en dos informes de Cisco Talos y Palo Alto Networks el año pasado.
Esos informes detallaban una campaña de spear phishing dirigida a la aplicación de la ley palestina. Los correos electrónicos maliciosos intentaron infectar a las víctimas con el infostealer Micropsia, un malware basado en Delphi que contenía muchas cadenas de personajes de los programas de televisión Big Bang Theory y Game Of Thrones.
Ahora, el mismo grupo parece estar de vuelta, y lo único que han cambiado es el malware, que ahora está codificado en C ++. Las referencias de programas de televisión todavía están allí, esta vez con menciones a la Teoría del Big Bang, pero también una serie de televisión turca llamada "Resurrección: Ertugrul".
Al igual que Micropsia, este nuevo malware también es una poderosa puerta trasera que se puede ampliar con módulos de segunda etapa en cualquier momento.
Según Check Point, el grupo utiliza esta puerta trasera nueva y mejorada para infectar a la víctima, recopilar una huella digital de su estación de trabajo y luego recopilar los nombres de los documentos .doc, .odt, .xls, .ppt y .pdf y enviar esto. lista al servidor del atacante.
Los expertos creen que el grupo de ciberespionaje analiza esta lista en busca de archivos confidenciales que podría robar. Cuando el atacante encuentra un host "valioso", otros módulos se descargan para realizar otras tareas.
Los investigadores creen que este nuevo malware admite 13 módulos, según la estructura de su archivo de configuración. El equipo de investigación dice que solo pudo recuperar cinco módulos y aún no ha determinado el propósito de los demás.
El grupo ahora apunta a miembros del gobierno palestino
Check Point dice que este año, el grupo parece estar apuntando a miembros de la Autoridad Nacional Palestina , que es el organismo interino de autogobierno de Palestina.
El tema de los correos electrónicos de spear-phishing son los informes de prensa mensuales que proponen venir de la Comisión de Orientación Política y Nacional Palestina, enviados a personas relacionadas con la Autoridad Nacional Palestina.
"A diferencia de 2017, esta vez el adjunto malicioso es un archivo ejecutable que en realidad es un archivo autoextraíble, que contiene un documento señuelo y el propio malware", dijeron los investigadores.
El archivo autoextraíble utiliza un icono tipo Word para engañar a los usuarios para que ejecuten el archivo y se infecten con malware.
Grupo detrás de los ataques vinculados a Hamas
Check Point cree que la amenaza persistente avanzada (APT) detrás de estos ataques es un grupo llamado Gaza Cybergang. Este grupo también se conoce con el nombre de Hackers Team de Gaza o Molerats, y en 2016, la firma de seguridad cibernética ClearSky vinculó este APT a Hamas , la organización fundamentalista suní-islamista palestina, una organización terrorista que está en desacuerdo tanto con Israel como con el gobierno local , hasta cierto grado.
El Cybergang de Gaza parece haber estado muy ocupado esta primavera porque la semana pasada Israel acusó a Hamas de tratar de atraer a los soldados para que instalen aplicaciones infectadas con malware en sus teléfonos.
Fecha actualización el 2021-07-09. Fecha publicación el 2018-07-09. Categoría: hackers. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer