Los expertos de ciberseguridad atribuyeron la campaña de marketing a un actor de riesgo de ciberespionaje iraní rastreado bajo el apodo APT34, citando similitudes con estrategias pasadas organizadas por el equipo.
“Al igual que varios de estos ataques, el correo electrónico contenía un archivo adjunto malicioso”, afirmó Fred Gutiérrez, investigador de Fortinet. “Aún así, la amenaza conectada no era un malware de selección de jardines en el patio trasero. En su lugar, tenía las habilidades y procedimientos normalmente relacionados con amenazas persistentes sofisticadas (APT)”.
APT34, también conocido como OilRig, Helix Kitten y Cobalt Gypsy, se identifica como activo desde al menos 2014 y tiene un historial de colgar los sectores de telecomunicaciones, gobierno, protección, petróleo, dinero en el Medio Oriente y África del Norte (MENA) mediante ataques de phishing dirigidos.
El mensaje de phishing recién observado contiene un documento de Microsoft Excel armado, que se abre y solicita a una posible víctima que habilite macros, lo que lleva a la ejecución de una macro maliciosa de la aplicación Visual Basic (VBA) que elimina la carga del malware ("update.exe").
Además, la macro se encarga de establecer la persistencia del implante añadiendo una tarea programada que se repite cada cuatro horas.
Un binario basado en .NET, Saitama aprovecha el protocolo DNS para sus comunicaciones de comando y control (C2) como parte de un esfuerzo por disfrazar su tráfico, mientras emplea un enfoque de " máquina de estado finito " para ejecutar los comandos recibidos de un C2. servidor.
Al final, esto básicamente significa que este malware está recibiendo tareas dentro de una respuesta de DNS", explicó Gutiérrez. La tunelización de DNS, como se le llama, permite codificar los datos de otros programas o protocolos en consultas y respuestas de DNS.
En la etapa final, los resultados de la ejecución del comando se envían posteriormente al servidor C2, con los datos extraídos integrados en una solicitud de DNS.
"Con la cantidad de trabajo invertido en el desarrollo de este malware, no parece ser del tipo que se ejecuta una vez y luego se elimina, como otros ladrones de información sigilosos", dijo Gutiérrez.
"Tal vez para evitar activar detecciones de comportamiento, este malware tampoco crea ningún método de persistencia. En su lugar, se basa en la macro de Excel para crear persistencia a través de una tarea programada".
No es de sorprender que salgan nuevas amenazas como estas y cabe destacar que no será la ultima ya que los cibercriminales no descansan y es por eso que debemos ser precavidos y estar preparados para enfrentar estas.
