Los analistas de Kaspersky han descubierto una nueva campaña maliciosa, DuneQuixote, que incorpora fragmentos extraídos de poemas españoles para mejorar la persistencia del malware y eludir su detección, con el objetivo último del ciberespionaje. Dirigida inicialmente a una entidad gubernamental de Oriente Medio, los expertos de la compañía descubrieron posteriormente más de 30 muestras de malware tipo dropper empleadas activamente en esta campaña, expandiendo presuntamente la victimología a Europa, APAC y América del Norte.
Como parte de la continua monitorización de actividades maliciosas, los expertos de Kaspersky descubrieron una campaña de ciberespionaje desconocida en febrero de 2024, DuneQuixote, dirigida a una entidad gubernamental de Oriente Medio. El atacante espiaba al objetivo y recopilaba datos sensibles utilizando un conjunto de herramientas sofisticadas, diseñadas para el sigilo y la persistencia. Asimismo, a finales de 2023, se produjeron varias subidas del mismo malware a un servicio semipúblico de escaneado de malware, con más de 30 muestras empleadas activamente en esta campaña, expandiéndose presuntamente a Europa, APAC y América del Norte.
Los droppers iniciales del malware se disfrazan de archivos de instalación manipulados de una herramienta legítima llamada Total Commander. Dentro de estos droppers, se incrustan cadenas de poemas españoles, con variaciones de una muestra a otra, con el objetivo de alterar la firma de cada muestra, dificultando su detección mediante las metodologías tradicionales.
Además, dropper lleva incrustado un código malicioso diseñado para descargar cargas útiles adicionales en forma de una puerta trasera denominada CR4T. Éstas, desarrolladas en C/C++ y GoLang, tienen como objetivo conceder a los atacantes acceso al dispositivo de la víctima. En particular, la variante GoLang utiliza la API de Telegram para las comunicaciones C2, implementando enlaces públicos a la API de telegram de Golang.
“Las variaciones del malware muestran la adaptabilidad y el ingenio de los actores de amenazas detrás de esta campaña. De momento, hemos descubierto dos implantes de este tipo, pero sospechamos firmemente de la existencia de otros adicionales”, señala Sergey Lozhkin, analista principal de seguridad en el equipo GReAT (Equipo Global de Investigación y Análisis) de Kaspersky.
Para evitar ser víctima de un ataque dirigido por un actor de amenazas conocido o desconocido, los analistas de Kaspersky recomiendan implementar las siguientes medidas:
- Proporciona a tu equipo de SOC acceso a la última inteligencia de amenazas (TI). El portal Kaspersky Threat Intelligence es un punto de acceso único para la TI de la empresa, que proporciona datos sobre ciberataques y perspectivas recopiladas por Kaspersky a lo largo de más de 20 años.
- Mejora la capacidad de tu equipo de ciberseguridad para hacer frente a las últimas amenazas dirigidas con formación online desarrollada por expertos de GReAT, Kaspersky Expert Training.
- Para la detección, investigación y reparación oportuna de incidentes a nivel endpoint, implementa soluciones EDR como Kaspersky Endpoint Detection and Response.
- Además de adoptar la protección esencial de endpoints, implementa una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
- Dado que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social, forma a tu equipo para concienciarles sobre la importancia de la seguridad, así como enseñarles habilidades prácticas, por ejemplo, a través de Kaspersky Automated Security Awareness Platform.
Para obtener más información sobre la nueva campaña DuneQuixote, visita Securelist.