El grupo de ciberdelincuentes que es responsable de la operación de espionaje de DNS se volvió más selectivo en la elección de víctimas y se armó con el nuevo malware Karkoff para mejorar la efectividad de sus ciberataques..
UNASegún FireEye, La campaña de DNSpionage comenzó a finales de abril 2017 y por ello ciberdelincuentes responsables que actúan en interés del gobierno iraní.En los ataques anteriores, con el uso de sitios web falsos y roturas de DNS, Los intrusos redirigieron el tráfico de dominios legítimos a dominios maliciosos., para estos últimos se utilizaron certificados digitales gratuitos Ciframos.
Ahora grupo armado con nuevo instrumento para administración remota con soporte de conexión con C&Servidores C a través de HTTP y DNS, investigadores de Cisco Talos.
Desde la publicación del primer informe de Cisco Talos sobre el espionaje de DNS a finales de 2018, Los ciberdelincuentes mejoraron su táctica..
“Descubrimos algunos cambios en los actores.’ táctica, técnicas y procedimientos (TTP), incluido el uso de una nueva fase de reconocimiento que elige selectivamente qué objetivos infectar con malware”., – Los investigadores de Cisco Talos informaron.
Con la ayuda de métodos de espionaje., Los delincuentes logran eludir la protección y crear huellas digitales del sistema que atacan..
Los delincuentes seleccionan a sus víctimas con mucho cuidado y las atacan mediante la pesca selectiva.. Envían correos electrónicos a sus víctimas con documentos adjuntos de Microsoft Word y Excel que contienen macros de malware.. durante el ataque, Los programas maliciosos a través de las macros cambian sus nombres por «tareawin32.exe» y crear tarea planificada «actualizador de onedrive v10.12.5» para garantizar que el malware persista en un sistema.
En espionaje DNS, al abrir el documento de Excel, los usuarios son recibidos con el insulto, “jaja eres burro [sic].” El inglés entrecortado sugiere que es poco probable que el actor sea un hablante nativo de inglés..
Este mes, los investigadores detectaron por primera vez en el arsenal del grupo un programa malicioso en .Net con el nombre Karkoff. Dicen que el malware es “ligero” y necesita ejecución remota a través de C&servidor de C.
sin embargo, Karkoff posee una característica interesante. El malware genera un archivo de diario donde se almacenan todos los comandos realizados con marcas de tiempo. Asi que, Con el uso de este diario, las víctimas de Karkoff pueden comprobar qué y cuándo sucedieron ciertos eventos..
