Un nuevo troyano en la escena está atacando selectivamente objetivos en el Medio Oriente al verificar los diseños de teclado e intenta evitar las listas negras al abusar de los servicios en la nube.
El jueves, investigadores de ciberseguridad de Cisco Tals dijeron que el troyano de acceso remoto (RAT), apodado JhoneRAT, se está propagando activamente a través de documentos de Microsoft Office environment que contienen macros maliciosas.
El primero de los documentos identificados a través de campañas de phishing, llamado «Urgent.docx», le pide al destinatario que habilite la edición en inglés y árabe. El segundo, «fb.docx», afirma contener datos sobre una fuga de información de Facebook, y el tercero pretende ser de una organización legítima del Emiratos Árabes Unidos.
Ver también: Lazarus gira a los ataques de Linux a través del troyano Dacls
En cada caso, si la edición está habilitada, se carga y ejecuta un documento de Business office adicional que contiene una macro maliciosa.
Estos documentos se alojan a través de Google Travel «para evitar las listas negras de URL», dice el equipo.
JhoneRAT está escrito en Python y se elimina a través de Google Generate, que aloja imágenes con un binario codificado en foundation64 agregado al closing. Estas imágenes, una vez cargadas en una máquina prone a infección, desplegarán el troyano, que inmediatamente comienza a recolectar información de la máquina de la víctima, incluido el tipo, los números de serie del disco, el sistema operativo en uso y más.
Al comunicarse con su servidor de comando y manage (C2) para extraer información, los comandos se verifican a través de un feed público de Twitter cada 10 segundos. El identificador @ jhone87438316 se usó originalmente, pero esta cuenta ahora se ha suspendido.
«Estos comandos pueden emitirse a una víctima específica en función del UID generado en cada objetivo (mediante el uso de la información serial y contextual del disco, como el nombre de host, el antivirus y el sistema operativo) o para todos ellos», dicen los investigadores.
CNET: El FBI comenzará a notificar a los estados cuando los hackers lleguen a las elecciones locales
Sin embargo, el robo genuine de datos se realiza a través de los proveedores de la nube ImgBB y Google Generate y Sorts. Las capturas de pantalla se cargan en ImgBB, los binarios se descargan de Drive y los comandos se ejecutan con la salida enviada a los formularios.
Una faceta interesante del malware es cómo se seleccionan los objetivos. El filtrado se ha implementado en función del diseño del teclado de la víctima, y el malware solo se ejecutará contra aquellos en países de habla árabe.
Cisco Talos dice que JhoneRAT apunta a Arabia Saudita, Irak, Egipto, Libia, Argelia, Marruecos, Túnez, Omán, Yemen, Siria, Emiratos Árabes Unidos, Kuwait, Bahrein y Líbano.
«Esta campaña comenzó en noviembre de 2019 y aún continúa», dicen los investigadores. «En este momento, se revoca la clave API y se suspende la cuenta de Twitter. Sin embargo, el atacante puede crear fácilmente nuevas cuentas y actualizar los archivos maliciosos para seguir funcionando».
TechRepublic: Estas líneas de asunto son las más clicadas para phishing
Otro troyano inusual en revisión por investigadores de amenazas en la actualidad es Faketoken. Faketoken comenzó su viaje como una forma de malware atornillado utilizado por los troyanos de escritorio tradicionales para interceptar códigos de verificación enviados a dispositivos móviles cuando las víctimas intentaron iniciar sesión en cuentas en línea y desde entonces se ha convertido en una amenaza financiera independiente.
Recientemente, una campaña de Faketoken demostró un comportamiento extraño: el secuestro de las instalaciones de mensajería de dispositivos móviles para enviar mensajes de texto ofensivos.
Los investigadores de ciberseguridad no saben por qué, con la excepción de que muchos destinatarios están en el extranjero y, por lo tanto, los mensajes SMS podrían generar ingresos a través de los costosos mensajes que se envían a estos números.
