Nueva puerta trasera dirigida a funcionarios europeos vinculados a eventos diplomáticos indios

29 de febrero de 2024Sala de redacciónCiberespionaje/malware

Un actor de amenazas previamente indocumentado apodado VINO PICO Se ha observado atacar a funcionarios en países europeos con misiones diplomáticas indias utilizando una nueva puerta trasera llamada CARGADOR DE VINO.

El adversario, según un informe de Zscaler ThreatLabz, utilizó un archivo PDF en correos electrónicos que supuestamente provenían del Embajador de la India, invitando al personal diplomático a una cata de vinos el 2 de febrero de 2024.

El documento pdf se subió a VirusTotal desde Letonia el 30 de enero de 2024. Dicho esto, hay evidencia que sugiere que esta campaña puede haber estado activa al menos desde el 6 de julio de 2023, según el descubrimiento de otro archivo PDF similar subido desde el mismo país.

“El ataque se caracteriza por su muy bajo volumen y las tácticas, técnicas y procedimientos avanzados (TTP) empleados en el malware y la infraestructura de comando y control (C2)”, dijeron los investigadores de seguridad Sudeep Singh y Roy Tay.

El elemento central del novedoso ataque es el archivo PDF que viene con un enlace malicioso que se hace pasar por un cuestionario, instando a los destinatarios a completarlo para poder participar. Al hacer clic en el enlace se abre el camino para que una aplicación HTML (“wine.hta”) que contiene código JavaScript ofuscado recupere un archivo ZIP codificado con WINELOADER del mismo dominio.

El malware incluye un módulo central diseñado para ejecutar módulos desde el servidor C2, inyectarse en otra biblioteca de enlaces dinámicos (DLL) y actualizar el intervalo de suspensión entre solicitudes de baliza.

Un aspecto notable de las incursiones cibernéticas es el uso de sitios web comprometidos para C2 y alojamiento de cargas útiles intermedias. Se sospecha que el “servidor C2 sólo responde a tipos específicos de solicitudes en determinados momentos”, lo que hace que los ataques sean más evasivos.

“El actor de amenazas hizo un esfuerzo adicional para pasar desapercibido evadiendo análisis forenses de memoria y soluciones automatizadas de escaneo de URL”, dijeron los investigadores.