Hemos estado siguiendo el rastro de Milum, un troyano malicioso utilizado por el agente de amenaza avanzada persistente (APT) WildPressure y activo en el Medio Oriente, desde agosto de 2019. Mientras investigaban uno de los últimos ataques de este agente en lo que parece ser el sector industrial, nuestros investigadores descubrieron nuevas versiones del malware escritas en diferentes lenguajes de programación. Una de esas versiones cuenta con la capacidad de infectar y ejecutarse tanto en sistemas Windows como macOS.
Durante la investigación de amenazas, muchos descubrimientos se hacen a partir de una pequeña pista, y esta campaña no es la excepción. A menudo, tan pronto un dispositivo queda infectado por un troyano, el malware envía a los servidores de los atacantes una baliza que contiene información sobre el dispositivo, su configuración de red, el nombre del usuario y cualquier otra información pertinente. Esto ayuda a los atacantes a determinar si el dispositivo infectado puede ser de interés. Sin embargo, en el caso de Milum, este también envió información sobre el lenguaje de programación en que el dispositivo infectado estaba escrito. Al examinar la campaña por primera vez en 2020, los investigadores sospecharon que esto apuntaba a la existencia de diferentes versiones de este troyano en diferentes lenguajes. Con este descubrimiento, esta teoría queda confirmada.
En la primavera boreal de 2021, identificamos un nuevo ataque de WildPressure, el cual se llevó a cabo con un conjunto de versiones más nuevas del malware Milum. Los archivos descubiertos contenían el troyano Milum escrito en C++ y una variante de Visual Basic Script (VBScript) correspondiente. Al hacerse una mayor investigación sobre este ataque, se descubrió otra versión del malware escrita en Python, que fue programada para los sistemas operativos Windows y macOS. Las tres versiones del troyano tenían la capacidad de descargar y ejecutar órdenes del operador, recopilar información y actualizarse a una versión más reciente.
El malware multi-plataformas capaz de infectar dispositivos que se ejecutan en macOS es poco común. Este espécimen en particular se entregó en un paquete que incluía el malware, la biblioteca Python y un script llamado “Guard”. Esto permitió que el malware se iniciara tanto en Windows como en macOS con pocos esfuerzos adicionales. Una vez que infecta el dispositivo, el malware ejecuta un código dependiente del sistema operativo para la persistencia y la recopilación de datos. En Windows, el script se incluye en un ejecutable con PyInstaller. El troyano Python también es capaz de verificar si se están ejecutando soluciones de seguridad en un dispositivo.
“Los operadores de WildPressure mantienen su interés en la misma zona geográfica. Los autores de malware desarrollaron varias versiones de troyanos similares y tienen un sistema de control de versiones para ellos. Lo más probable es que la razón para desarrollar malware similar en varias lenguas sea disminuir la probabilidad de detección. Esta estrategia no es única entre los agentes de APT, pero rara vez vemos malware que esté adaptado para ejecutarse en dos sistemas a la vez, incluso en forma de un script de Python. Otra característica curiosa es que uno de los sistemas operativos atacados es macOS, algo sorprendente dado el interés geográfico del agente”, comenta Denis Legezo, investigador sénior de seguridad en Kaspersky.
Para evitar convertirse en víctima de un ataque dirigido, recomendamos:
- No considerar a un sistema operativo menos común como un escudo contra amenazas; no lo es. El uso de una solución de seguridad confiable es imprescindible, independientemente del sistema y los dispositivos en los que confíe.
- Asegurarse de actualizar de forma regular todo el software que se utiliza en su organización, especialmente cada vez que se emite un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y administración de parches pueden ayudar a automatizar estos procesos.
- Seleccionar una solución de seguridad probada, como Kaspersky Endpoint Security,que esté equipada con capacidades de detección basadas en el comportamiento para una protección eficaz contra amenazas conocidas y desconocidas, incluidas las vulnerabilidades.
- Además de adoptar una protección esencial para endpoints, implementar una solución de seguridad de nivel corporativo que detecte amenazas avanzadas al nivel de la red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
- Asegurarse de que su personal comprenda la capacitación básica en higiene de la ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social.
- Asegurarse de que su equipo de seguridad tenga acceso a la inteligencia de amenazas cibernéticas más reciente. Los clientes de Kaspersky APT Intelligence Reporting disponen de informes privados sobre los acontecimientos más recientes en el panorama de las amenazas.
- Mejorar las habilidades de su equipo de SOC para combatir las amenazas dirigidas más recientes con una capacitación en línea de ingeniería inversa de Kaspersky desarrollada por expertos de GReAT.