Un grupo de actividades de amenazas no documentado previamente denominado Minotauro de la Tierra está aprovechando el kit de explotación MOONSHINE y una puerta trasera de Android con Windows no declarada llamada DarkNimbus para facilitar operaciones de vigilancia a largo plazo dirigidas a tibetanos y uigures.
“Earth Minotaur utiliza MOONSHINE para ofrecer la puerta trasera DarkNimbus a dispositivos Android y Windows, apuntando a WeChat y posiblemente convirtiéndolo en una amenaza multiplataforma”, dijeron los investigadores de Trend Micro Joseph C Chen y Daniel Lunghi. dicho en un análisis publicado hoy.
“MOONSHINE explota múltiples vulnerabilidades conocidas en navegadores y aplicaciones basados en Chromium, lo que requiere que los usuarios actualicen el software periódicamente para evitar ataques”.
Los países afectados por los ataques del Minotauro Terrestre abarcan Australia, Bélgica, Canadá, Francia, Alemania, India, Italia, Japón, Nepal, Países Bajos, Noruega, Rusia, España, Suiza, Taiwán, Turquía y Estados Unidos.
LUZ DE LA LUNA salió a la luz por primera vez en septiembre de 2019 como parte de ataques cibernéticos dirigidos a la comunidad tibetana, y Citizen Lab atribuye su uso a un operador al que rastrea bajo el nombre de POISON CARP, que se superpone con grupos de amenazas. Tierra Empusa y Mal de Ojo.
Se sabe que un kit de exploits basado en Android utiliza varios exploits del navegador Chrome con el objetivo de implementar cargas útiles que pueden desviar datos confidenciales de los dispositivos comprometidos. En particular, incorpora código para apuntar a varias aplicaciones como Google Chrome, Naver y aplicaciones de mensajería instantánea como LINE, QQ, WeChat y Zalo que incorporan un navegador dentro de la aplicación.
Earth Minotaur, según Trend Micro, no tiene conexiones directas con Earth Empusa. Dirigido principalmente a las comunidades tibetanas y uigures, se ha descubierto que el actor de amenazas utiliza una versión mejorada de MOONSHINE para infiltrarse en los dispositivos de las víctimas y posteriormente infectarlos con DarkNimbus.
La nueva variante agrega a su arsenal de exploits CVE-2020-6418, una vulnerabilidad de confusión de tipos en el motor JavaScript V8 que Google parchó en febrero de 2020 luego de informes de que se había convertido en un arma de día cero.
“Earth Minotaur envía mensajes cuidadosamente elaborados a través de aplicaciones de mensajería instantánea para atraer a las víctimas a hacer clic en un enlace malicioso incrustado”, dijeron los investigadores. “Se disfrazan de personajes diferentes en los chats para aumentar el éxito de sus ataques de ingeniería social”.
Los enlaces falsos conducen a uno de al menos 55 servidores del kit de explotación MOONSHINE que se encargan de instalar la puerta trasera DarkNimbus en los dispositivos del objetivo.
En un inteligente intento de engaño, estas URL se hacen pasar por enlaces aparentemente inocuos, pretendiendo ser anuncios relacionados con China o relacionados con videos en línea de música y danzas tibetanas o uigures.
“Cuando una víctima hace clic en un enlace de ataque y es redirigida al servidor del kit de explotación, reacciona según la configuración integrada”, dijo Trend Micro. “El servidor redirigirá a la víctima al enlace legítimo enmascarado una vez finalizado el ataque para evitar que la víctima note cualquier actividad inusual”.
En situaciones en las que el navegador Tencent basado en Chromium no es susceptible a ninguno de los exploits admitidos por MOONSHINE, el servidor del kit está configurado para devolver una página de phishing que alerta al usuario de WeChat que el navegador dentro de la aplicación (un versión personalizada de Android WebView llamado Xcaminar) está desactualizado y debe actualizarse haciendo clic en el enlace de descarga proporcionado.
Esto da como resultado un ataque de degradación del motor del navegador, lo que permite al actor de la amenaza aprovechar el marco MOONSHINE explotando las fallas de seguridad no parcheadas.
Un ataque exitoso hace que se implante una versión troyanizada de XWalk en el dispositivo Android y reemplace su contraparte legítima dentro de la aplicación WeChat, lo que en última instancia allana el camino para la ejecución de DarkNimbus.
Se cree que ha sido desarrollada y actualizada activamente desde 2018, la puerta trasera utiliza el protocolo XMPP para comunicarse con un servidor controlado por un atacante y admite una lista exhaustiva de comandos para aspirar información valiosa, incluidos metadatos del dispositivo, capturas de pantalla, marcadores del navegador, historial de llamadas telefónicas, contactos, mensajes SMS, geolocalización, archivos, contenido del portapapeles y una lista de aplicaciones instaladas.
También es capaz de ejecutar comandos de shell, grabar llamadas telefónicas, tomar fotografías y abusar de los permisos de los servicios de accesibilidad de Android para recopilar mensajes de DingTalk, MOMO, QQ, Skype, TalkBox, Voxer, WeChat y WhatsApp. Por último, pero no menos importante, puede desinstalarse del teléfono infectado.
Trend Micro dijo que también detectó una versión para Windows de DarkNimbus que probablemente se creó entre julio y octubre de 2019, pero que solo se usó más de un año después, en diciembre de 2020.
Carece de muchas de las características de su variante de Android, pero incorpora una amplia gama de comandos para recopilar información del sistema, la lista de aplicaciones instaladas, pulsaciones de teclas, datos del portapapeles, credenciales guardadas e historial de los navegadores web, así como leer y cargar contenido de archivos. .
Aunque los orígenes exactos de Earth Minotaur no están claros actualmente, la diversidad en las cadenas de infección observadas combinada con herramientas de malware altamente capaces no deja dudas de que se trata de un actor de amenazas sofisticado.
“MOONSHINE es un conjunto de herramientas que aún está en desarrollo y se ha compartido con múltiples actores de amenazas, incluidos Earth Minotaur, POISON CARP, UNC5221 y otros”, teorizó Trend Micro.
About the Author
