Un actor de amenazas previamente desconocido apodado NoticiasPingüino se ha relacionado con una campaña de phishing dirigida a entidades paquistaníes aprovechando la próxima exposición marítima internacional como señuelo.
«El atacante envió correos electrónicos de phishing dirigidos con un documento armado adjunto que pretende ser un manual de exhibición para PIMEC-23», dijo el Equipo de Investigación e Inteligencia de BlackBerry. dicho.
PIMECabreviatura de Pakistan International Maritime Expo and Conference, es una iniciativa de la Marina de Pakistán y está organizado por el Ministerio de Asuntos Marítimos con el objetivo de «impulsar el desarrollo del sector marítimo». Está programado para celebrarse del 10 al 12 de febrero de 2023.
La compañía canadiense de ciberseguridad dijo que los ataques están diseñados para apuntar a entidades relacionadas con la marina y a los visitantes del evento al engañar a los destinatarios del mensaje para que abran el aparentemente inofensivo documento de Microsoft Word.
Una vez que se inicia el documento, un método llamado inyección de plantilla remota se emplea para obtener la carga útil de la siguiente etapa de un servidor controlado por un actor que está configurado para devolver el artefacto solo si la solicitud se envía desde una dirección IP ubicada en Pakistán.
BlackBerry dijo que descubrió que el servidor alojaba dos archivos ZIP sin protección de contraseña, uno de los cuales incluye un ejecutable de Windows (updates.exe) que funciona como una herramienta de espionaje encubierta capaz de eludir las cajas de arena y las máquinas virtuales.
Además, el contenido del binario está encriptado con el cifrado XOR algoritmo, donde la clave XOR es «pingüino». La respuesta HTTP que contiene la puerta trasera también viene con el parámetro de nombre en el Encabezado de respuesta de disposición de contenido establecido en «obtener las últimas noticias».
El nombre NewsPenguin es una referencia a la clave XOR poco común y al parámetro de nombre, y BlackBerry no encuentra superposiciones tácticas que conecten el malware con ningún actor o grupo de amenazas actualmente conocido.
Un análisis del dominio que aloja las cargas útiles muestra que ha estado registrado desde el 30 de junio de 2022, lo que indica cierto nivel de planificación anticipada para la campaña y, al mismo tiempo, toma medidas para iterar su conjunto de herramientas.
“Como el objetivo es un evento organizado por la Marina de Pakistán, implica que el actor de la amenaza está atacando activamente a las organizaciones gubernamentales, en lugar de que se trate de un ataque motivado financieramente”, dijo BlackBerry.