Wednesday, March 22, 2023
Latest:

Malware Removed

Obtenga las últimas actualizaciones de amenazas para PC

News 

Hackers chinos apuntan a empresas japonesas con nuevo malware Flagpro

William Stuart

Los investigadores de seguridad han detectado que las empresas japonesas están siendo atacadas por el grupo de ciberespionaje APT (amenaza persistente avanzada) de BlackTech. Para ello, los piratas informáticos utilizaron el nuevo software malicioso denominado “Flagpro”.

Los ciberdelincuentes utilizan principalmente Flagpro para inspeccionar inicialmente una red de destino, juzgar su entorno y descargar malware primario (segunda etapa) y hacer que lleve a cabo sus actividades maliciosas.

Violar las redes corporativas

Para contaminar la organización objetivo, los actores de amenazas confían en el correo electrónico de phishing que se disfraza como una carta de un socio confiable. Los correos engañosos tienen adjunto un archivo ZIP o RAR protegido con contraseña. Este archivo adjunto contiene un archivo de Microsoft Excel (.XLSM) que incluye una macro rencorosa que, una vez ejecutada, genera un archivo ejecutable en el directorio de inicio. De esta manera, el Flagpro ingresa a la red.

Al ingresar, Flagpro inicialmente se conecta al servidor C2 a través de HTTP y luego ejecuta comandos del sistema operativo codificados para adquirir información de identificación del sistema y luego la envía. En respuesta, los comandos adicionales pueden ser devueltos por C2 o también puede enviar una carga útil de segunda etapa que puede ser ejecutada por Flagpro.

La comunicación está encriptada con Base64. Además, para evitar que se cree un patrón de operaciones identificables, entre las conexiones también hay un retraso de tiempo configurable.

Según un informe de NTT Security, los ciberdelincuentes han utilizado en general Flagpro contra empresas japonesas durante más de un año, desde al menos octubre de 2020. La última muestra que los investigadores pudieron obtener es de julio de 2021.

Hay varios sectores que han sido atacados, incluidos los medios, las tecnologías de defensa y las comunicaciones.

Flagpro v2.0

Los investigadores de NTT notaron una nueva versión de Flagpro durante su análisis, que puede cerrar automáticamente los diálogos relacionados con la configuración de conexiones externas que podrían hacer que las víctimas desconozcan su existencia.

“En la implementación de Flagpro v1.0, si se muestra un cuadro de diálogo titulado“ Windows セ キ ュ リ テ ィ ”cuando Flagpro accede a un sitio externo, Flagpro automáticamente hace clic en el botón Aceptar para cerrar el cuadro de diálogo”, explica el informe de seguridad de NTT.

Es probable que el hacker sea chino

Un BlackTech APT con sede en China es un pirata informático menos conocido que fue descubierto por los investigadores de TrendMicro en el verano de 2017.

Se dirige principalmente a Taiwán, aunque a veces incluso ataca a empresas originadas en Japón y Hong Kong para robar tecnología.

Como finaliza el informe de NTT: “Recientemente, ellos (BlackTech) han comenzado a usar otro nuevo malware llamado“ SelfMake Loader ”y“ Spider RAT ”. Significa que están desarrollando activamente nuevo malware “.