El equipo global de investigación y análisis de Kaspersky Lab (GReAT, por sus siglas en inglés) ha descubierto varias infecciones de un troyano anteriormente desconocido que probablemente esté relacionado con LuckyMouse, el infame agente de amenazas de habla china. El rasgo más peculiar de este malware es su driver o subrutina de instrucciones cuidadosamente seleccionado, que firma con un certificado digital legÃtimo emitido por una empresa productora de software relacionado con la seguridad de la información.
El grupo LuckyMouse es conocido por sus ciberataques dirigidos especÃficamente a grandes entidades de todo el mundo. La actividad del grupo representa un peligro para regiones enteras, incluso el sureste y el centro de Asia, ya que sus ataques parecen tener una agenda polÃtica. A juzgar por las caracterÃsticas de las vÃctimas y los anteriores vectores de ataque de ese grupo, los investigadores de Kaspersky Lab creen que el troyano detectado podrÃa haber sido utilizado para ciberespionaje respaldado por una Nación-Estado.
El troyano descubierto por los expertos de Kaspersky Lab infectó la computadora de una vÃctima por medio de un driver creado por los agentes de amenaza. Esto permitió a los atacantes llevar a cabo todas las tareas comunes, como ejecutar órdenes, bajar y subir archivos, e interceptar el tráfico de la red.
El driver resultó ser la parte más interesante de esta campaña. Para hacerlo confiable, el grupo aparentemente robó un certificado digital que pertenece a un programador de software relacionado con la seguridad de la información y lo usó para firmar muestras de malware. Esto se hizo para evitar que las soluciones de seguridad lo detectaran, ya que un desarrollador legÃtimo hace que el malware parezca un software legal.
Otra caracterÃstica destacada del driver es que, a pesar de que Luckymouse puede crear su propio malware, el software utilizado en el ataque parecÃa ser una combinación de muestras de código accesibles en depósitos públicos y malware especialmente diseñado. Este simple hecho de adoptar un código de terceros listo para usar, en lugar de escribir código original, ahorra tiempo a los programadores y hace que sea más difÃcil atribuirlo a una fuente determinada.
“Cuando aparece una nueva campaña de LuckyMouse, casi siempre es al mismo tiempo que se inicia un evento polÃtico importante, y el momento del ataque por lo general precede a las cumbres de lÃderes mundiales. El grupo no está demasiado preocupado porque se le atribuya el origen, ya que ahora implementa muestras de código de terceros en sus programas, no le lleva mucho tiempo agregar otra capa a sus droppers (troyanos instaladores) ni desarrollar una modificación del malware para seguir evitando que le descubran”, señala Denis Legezo, investigador de seguridad en Kaspersky Lab.
Kaspersky Lab habÃa informado anteriormente acerca del ataque realizado por el agente LuckyMouse a un centro de datos nacional para organizar una campaña de waterholing a nivel de paÃs.
Cómo protegerse: