Se
descubrió una campaña de ciberespionaje detrás del troyano KHRAT de backdoor.
A su
vez, el grupo de ciberdelincuentes denominados RANCOR han estado utilizando
dos nuevas familiar de malware, el “PLAINTEE y DDKONG” con el fin de dirigirlos
a instituciones políticas.
Para
enviar los malware PLAINTEE junto a DDKONG, los ciberdelincuentes usaron
mensajes de Spear Phishing con distintos vectores de infección, incluyendo las
macros maliciosas dentro de archivos de Microsoft Office Excel, HTA Loader y
DLL Loader, que incluyen archivos como señuelos.
Los
investigadores notificaron que los señuelos contienen detalles de artículos de
noticias públicas enfocados principalmente en noticias y eventos políticos, y
que también estos señuelos disfrazados de archivos se alojan en sitios web
legítimos, incluyendo un sitio web del gobierno, al menos fue el caso detectado
en Camboya.
PLAINTEE
se encarga de descargar e instalar complementos adicionales desde el servidor
de comunicaciones C&C (Command and Control), utilizando el mismo protocolo
UDP personalizado que transmite datos en forma codificada.
Asimismo,
el malware DDKONG no tiene ningún protocolo de comunicación personalizado como
PLAINTEE, aunque no se ha definido si es un actor de amenaza o solo utiliza
este malware.
La
carga en conjunto de estos malware tiene como objetivo realizar ciberespionaje
con propósitos políticos, en lugar de robar dinero.
Generalmente
el grupo de ciberdelincuentes RANCOR, ataca primordialmente a destinatarios no
expertos en tecnología, por ello, es indispensable no confiar en los archivos
que lleguen sin procedencia alguna por correo electrónico, así como también no
ingresar a enlaces desconocidos que pidan la verificación de documentos.
Es
preciso mantener un software antivirus que pueda detectar el comportamiento de
malware y los pueda bloquear antes que pueda infectar su equipo.
Fuente: The Hacker News
