Buscaban inversión y terminaron con una puerta trasera: cómo los hackers estafan a proyectos fintec
Un clic en un documento falso puede resultar fatal.
El grupo APT-C-28, también conocido como ScarCruft y Konni, amplió su campo de operaciones y comenzó ataques dirigidos contra empresas de criptomonedas y equipos de Web3. El equipo 360 Advanced Threat Research Institute registró una nueva ola de actividad durante el monitoreo regular de amenazas dirigidas. La campaña combina phishing dirigido, carga multinivel de código malicioso y una herramienta de control remoto hasta ahora no descrita.
Durante los ataques, los autores envían archivos ZIP con un señuelo relacionado con propuestas de inversión por montos de 1 a 3 millones de dólares. En el interior hay un documento y un acceso directo LNK, disfrazado de archivo PDF con el perfil de un inversor. Los nombres de los archivos están escogidos para parecer parte de la correspondencia comercial sobre la financiación de startups. Al ejecutar el acceso directo se realiza de forma oculta la ejecución de una cadena de comandos que localiza PowerShell en el sistema, descifra el código incrustado y carga la primera etapa del módulo malicioso directamente en la memoria.
La primera etapa comprueba el entorno en busca de sandboxes y plataformas en la nube. Si detecta señales de infraestructura virtual, no procede con la carga adicional. Si la comprobación es satisfactoria, se recopilan datos del sistema, de los procesos y de los archivos de usuario, tras lo cual la información se envía a un servidor remoto. A continuación se descarga un componente siguiente que utiliza el intérprete legítimo AutoIt para ejecutar un script oculto.
El instrumento final es el backdoor MiradorShell versión 2.0. Soporta la ejecución remota de comandos, la transferencia de archivos, la visualización de directorios, la eliminación de datos y el lanzamiento de programas. El control se establece mediante una conexión inversa con el servidor de mando por TCP. Para la persistencia se utiliza un mecanismo de exclusión mutua y se crea una tarea programada con ejecución periódica cada 5 minutos. El identificador de la máquina infectada se genera en función de parámetros de hardware.
Se prestó especial atención a la infraestructura de control. En varios casos la carga de módulos se realizó desde el dominio de la empresa tecnológica surcoreana Techcross-WNE. Por la estructura de las rutas y la librería utilizada, los autores del estudio sospechan la compromisión del sitio y el alojamiento de archivos maliciosos dentro del directorio de plugins. Este enfoque ayuda a enmascarar el tráfico de red como si proviniera de un recurso legítimo.
Por el conjunto de indicios, que incluyen el estilo de código, el esquema con archivos LNK, el formato de las solicitudes de red y el mecanismo de persistencia, la operación fue atribuida a APT-C-28. La actividad del grupo se observa desde 2014 y tradicionalmente se centraba en el sector público de la península coreana; sin embargo, ahora los proyectos de criptomonedas entran cada vez más en su zona de interés.