El actor de amenazas conocido como SideWinder agregó una nueva herramienta personalizada a su arsenal de malware que se utiliza en ataques de phishing contra entidades del sector público y privado de Pakistán.
«Los enlaces de phishing en correos electrónicos o publicaciones que imitan las notificaciones y los servicios legítimos de las agencias y organizaciones gubernamentales en Pakistán son los principales vectores de ataque de la pandilla», Group-IB, empresa de seguridad cibernética con sede en Singapur. dijo en un informe del miércoles.
SideWinder, también rastreado bajo los nombres de Hardcore Nationalist, Rattlesnake, Razor Tiger y T-APT-04, ha estado activo desde al menos 2012 con un enfoque principal en Pakistán y otros países de Asia Central como Afganistán, Bangladesh, Nepal, Singapur y Sri Lanka.
El mes pasado, Kaspersky atribuyó a este grupo más de 1000 ataques cibernéticos que tuvieron lugar en los últimos dos años, al tiempo que llamó la atención sobre su persistencia y sus sofisticadas técnicas de ofuscación.
El modus operandi del actor de amenazas implica el uso de correos electrónicos de phishing para distribuir archivos ZIP maliciosos que contienen archivos RTF o LNK, que descargan una carga útil de aplicación HTML (HTA) desde un servidor remoto.
Esto se logra incorporando enlaces fraudulentos que están diseñados para imitar notificaciones y servicios legítimos de agencias y organizaciones gubernamentales en Pakistán, y el grupo también crea sitios web similares que se hacen pasar por portales gubernamentales para recopilar credenciales de usuario.
La herramienta personalizada identificada por Group-IB, denominada SideWinder.AntiBot.Scriptactúa como un sistema de dirección del tráfico que desvía a los usuarios paquistaníes que hacen clic en los enlaces de phishing a dominios no autorizados.
Si un usuario, cuya dirección IP del cliente es diferente a la de Pakistán, hace clic en el enlace, el script de AntiBot lo redirige a un documento auténtico ubicado en un servidor legítimo, lo que indica un intento de geovalla de sus objetivos.
«La secuencia de comandos verifica el entorno del navegador del cliente y, en función de varios parámetros, decide si emite un archivo malicioso o lo redirige a un recurso legítimo», dijeron los investigadores.
De mención especial es un enlace de phishing que descarga una aplicación VPN llamada Secure VPN («com.securedata.vpn») de la tienda oficial de Google Play en un intento de hacerse pasar por la aplicación legítima de Secure VPN («com.securevpn.securevpn»).
Si bien el propósito exacto de la aplicación VPN falsa sigue sin estar claro, esta no es la primera vez que SideWinder se escapa de las protecciones de Google Play Store para publicar aplicaciones no autorizadas con el pretexto de un software de utilidad.
En enero de 2020, Trend Micro detallado tres aplicaciones maliciosas que se disfrazaron de herramientas de fotografía y administración de archivos que aprovecharon una falla de seguridad en Android (CVE-2019-2215) para obtener privilegios de root y abusar de los permisos del servicio de accesibilidad para recopilar información confidencial.