Las organizaciones en Kazajstán son el objetivo de un grupo de actividades de amenazas denominado Lobo sangriento que distribuye un malware comercial llamado STRRAT (también conocido como Strigoi Master).
«El programa, que se vende por tan solo 80 dólares en recursos clandestinos, permite a los adversarios tomar el control de las computadoras corporativas y secuestrar datos restringidos», afirma el proveedor de ciberseguridad BI.ZONE. dicho en un nuevo análisis.
Los ataques cibernéticos emplean correos electrónicos de phishing como vector de acceso inicial, haciéndose pasar por el Ministerio de Finanzas de la República de Kazajstán y otras agencias para engañar a los destinatarios para que abran archivos adjuntos en formato PDF.
El archivo pretende ser un aviso de incumplimiento y contiene enlaces a un archivo JAR (Java archive) malicioso, así como una guía de instalación para el intérprete de Java necesario para que el malware funcione.
En un intento de darle legitimidad al ataque, el segundo enlace apunta a una página web asociada al sitio web del gobierno del país que insta a los visitantes a instalar Java para garantizar que el portal esté operativo.
El malware STRRAT, alojado en un sitio web que imita el sitio web del gobierno de Kazajstán («egov-kz[.]online»), configura la persistencia en el host de Windows mediante una modificación del Registro y ejecuta el archivo JAR cada 30 minutos.
Además, se copia una copia del archivo JAR en la carpeta de inicio de Windows para garantizar que se inicie automáticamente después de reiniciar el sistema.
Posteriormente, establece conexiones con un servidor Pastebin para exfiltrar información confidencial de la máquina comprometida, incluidos detalles sobre la versión del sistema operativo y el software antivirus instalado, y datos de cuentas de Google Chrome, Mozilla Firefox, Internet Explorer, Foxmail, Outlook y Thunderbird.
También está diseñado para recibir comandos adicionales del servidor para descargar y ejecutar más cargas útiles, registrar pulsaciones de teclas, ejecutar comandos usando cmd.exe o PowerShell, reiniciar o apagar el sistema, instalar un proxy y eliminarse.
«El uso de tipos de archivos menos comunes, como JAR, permite a los atacantes eludir las defensas», afirmó BI.ZONE. «El uso de servicios web legítimos, como Pastebin, para comunicarse con el sistema comprometido permite evadir las soluciones de seguridad de la red».