Una simple actualización de Zoom y ya estás hackeado: hackers iraníes aprenden a camuflar elementos anclados como tareas estándar de Windows
¿Buscas "SQL Developer descargar gratis"? Bienvenido al KSIR.
La agrupación iraní Nimbus Manticore regresó con una nueva campaña en el contexto de la operación Epic Fury. Los atacantes camuflaron archivos maliciosos como ofertas de empleo, un instalador de Zoom y una página de descarga de SQL Developer para llegar al personal de empresas aeronáuticas, de defensa y de software en Estados Unidos, Europa y Oriente Medio.
El grupo se vincula con el Cuerpo de la Guardia Revolucionaria Islámica (CGRI). Anteriormente Nimbus Manticore, también conocida como UNC1549, utilizaba con más frecuencia correos con ofertas de trabajo falsificadas. Ahora los atacantes han ampliado su repertorio de métodos. En una de las campañas se pedía a las víctimas descargar un archivo comprimido desde la plataforma OnlyOffice, donde, bajo la apariencia de material sobre la oferta, había un archivo legítimo de Microsoft, un archivo de configuración y una biblioteca maliciosa.
Para ejecutar el código malicioso, el grupo utilizó el secuestro del dominio de aplicaciones .NET. Esta técnica permite obligar a un programa legítimo a cargar una biblioteca ajena al iniciarse. Cuando se ejecutaba el programa, la víctima veía un mensaje de error falso y en el equipo se desplegaba la siguiente etapa de la infección, incluida una nueva versión de MiniJunk.
Durante la operación Epic Fury los atacantes recurrieron a una cadena más compleja. Prepararon un instalador de Zoom comprometido que ejecutaba el instalador legítimo del programa para que el usuario no notara el engaño. Paralelamente, el malware esperaba a que en el programador de tareas de Windows apareciera la tarea habitual de actualización de Zoom y luego la sustituía para afianzarse en el sistema haciéndose pasar por actividad normal.
En esta campaña Nimbus Manticore utilizó por primera vez la nueva herramienta MiniFast. Se trata de un programa malicioso para el control remoto del equipo infectado. MiniFast puede recibir comandos desde un servidor de mando y control, ejecutar órdenes mediante la línea de comandos, inspeccionar procesos y discos, descargar y subir archivos, borrar datos, crear archivos comprimidos, terminar procesos y tratar de obtener privilegios elevados.
Los especialistas de Check Point también encontraron indicios de que parte del código pudo haber sido escrito o refinado con herramientas basadas en inteligencia artificial. Así lo indican el tratamiento excesivamente detallado de errores, los nombres largos y descriptivos de las funciones, numerosos mensajes de depuración y una estructura bastante modular para un programa malicioso relativamente sencillo.
Tras el cese del fuego, el grupo probó otro método de entrega de malware. En abril apareció un sitio falso getsqldeveloper[.]com, que se hacía pasar por la página de descarga de SQL Developer. Los atacantes registraron decenas de dominios que redirigían a ese sitio y llenaron las páginas con frases de búsqueda como «Download SQL Developer» para incrementar la posición de la falsificación en los resultados de Bing y DuckDuckGo.
Los objetivos de Nimbus Manticore siguen vinculados a los sectores que interesan a la inteligencia iraní. El grupo ataca empresas de defensa, telecomunicaciones, aeronáuticas y de software, y en la última campaña reforzó notablemente el enfoque en organizaciones aeronáuticas en Estados Unidos.