Rusia y Kazajistán, en la mira de espías: nuevo virus puede robar en apenas cinco minutos las contraseñas de funcionarios públicos

Rusia y Kazajistán, en la mira de espías: nuevo virus puede robar en apenas cinco minutos las contraseñas de funcionarios públicos

Una nota interna rutinaria desata una reacción en cadena difícil de detectar a tiempo.

image

Cuanto más familiar parezca el adjunto, más fácil es ocultar tras él un ataque complejo. Según Kaspersky, el grupo Armored Likho empezó a enviar un nuevo stealer, BusySnake Stealer, a empleados de organismos estatales y empresas del sector energético en Rusia, Kazajistán y Brasil. No se había documentado antes un malware escrito en Python, y los primeros cargadores los crearon los atacantes con ayuda de modelos de lenguaje.

El ataque comienza con correos dirigidos que se hacen pasar por notificaciones oficiales, pruebas psicológicas o solicitudes de ayuda humanitaria. En el archivo comprimido hay un ejecutable o un acceso directo LNK. Tras la ejecución, la víctima ve un documento de distracción o un cuestionario, mientras el cargador descarga Python, las bibliotecas necesarias y el módulo principal BusySnake Stealer. Después, el malware se instala en Windows mediante una tarea programada y se ejecuta cada cinco minutos.

BusySnake recopila el contenido del portapapeles, documentos, capturas de pantalla, contraseñas y cookies de los navegadores. Por orden del servidor de comando y control, el malware busca claves de autenticación de dos factores, archivos de carteras criptográficas y datos de sesiones de Telegram, y además crea un túnel SSH inverso para acceso remoto a la computadora infectada.

En la nueva versión los desarrolladores complicaron la persistencia en el sistema y añadieron la ejecución de scripts de Python arbitrarios directamente en la memoria, sin guardarlos en disco. Ese enfoque dificulta el análisis y permite cambiar rápidamente el conjunto de funciones para un objetivo concreto.

Kaspersky relaciona la campaña con Armored Likho con un nivel de confianza medio. La base fueron las similitudes con herramientas anteriores del grupo, incluida la estructura de comandos, los métodos de persistencia y el mecanismo de túneles SSH inversos. La campaña sigue activa; los objetivos confirmados están en el sector público y en el sector energético.