Las organizaciones industriales y gubernamentales, incluidas las empresas del complejo militar-industrial y los laboratorios de investigación, son el objetivo de una nueva botnet de malware denominada PseudoManyscrypt que ha infectado aproximadamente 35.000 computadoras con Windows solo este año.
El nombre proviene de sus similitudes con el malware Manuscrypt , que es parte del conjunto de herramientas de ataque del grupo Lazarus APT, dijeron los investigadores de Kaspersky, que caracterizaron la operación como una "campaña de ataque de software espía a gran escala". La compañía rusa de ciberseguridad dijo que detectó por primera vez la serie de intrusiones en junio de 2021.
Al menos el 7,2% de todas las computadoras atacadas por el malware son parte de los sistemas de control industrial (ICS) utilizados por organizaciones en los sectores de ingeniería, automatización de edificios, energía, manufactura, construcción, servicios públicos y gestión del agua que se encuentran principalmente en India, Vietnam, y Rusia. Aproximadamente un tercio (29,4%) de las computadoras que no son de ICS se encuentran en Rusia (10,1%), India (10%) y Brasil (9,3%).
"El cargador PseudoManuscrypt hace su camino en los sistemas de usuario a través de una plataforma MaaS que distribuye el malware en los archivos de instalación de software pirata", el equipo de Kaspersky ICS CERT dijo . "Un caso específico de distribución del descargador PseudoManuscrypt es su instalación a través de la botnet Glupteba".
Coincidentemente, las operaciones de Glupteba también han recibido un impacto significativo después de que Google a principios de este mes reveló que actuó para desmantelar la infraestructura de la botnet y que está llevando a cabo un litigio contra dos ciudadanos rusos, que supuestamente han manejado el malware junto con otras 15 personas anónimas.
Entre los instaladores agrietados que se utilizan para alimentar la botnet se encuentran Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, SolarWinds Engineer's Toolset e incluso la propia solución antivirus de Kaspersky. Las instalaciones de software pirateado son impulsadas por un método llamado envenenamiento de búsqueda en el que los atacantes crean sitios web maliciosos y usan tácticas de optimización de motores de búsqueda (SEO) para que aparezcan de manera prominente en los resultados de búsqueda.
Una vez instalado, PseudoManuscrypt viene con una serie de capacidades intrusivas que permiten a los atacantes tener el control total del sistema infectado. Esto consiste en deshabilitar las soluciones antivirus, robar datos de conexión VPN, registrar pulsaciones de teclas, grabar audio, capturar capturas de pantalla y videos de la pantalla e interceptar datos almacenados en el portapapeles.
Kaspersky señaló que ha identificado 100 versiones diferentes del cargador PseudoManuscrypt, con las primeras variantes de prueba que datan del 27 de marzo de 2021. Los componentes del troyano se tomaron prestados de malware de productos básicos como Fabookie y una biblioteca de protocolos KCP empleada por APT41, con sede en China. grupo para enviar datos a los servidores de comando y control (C2) de los atacantes.
Las muestras de malware analizadas por ICS CERT también incluían comentarios escritos en chino y se encontró que especificaban el chino como el idioma preferido al conectarse al servidor C2, pero estas pistas por sí solas no han sido concluyentes para hacer una evaluación sobre los operadores del malware o sus orígenes. Tampoco están claros los objetivos finales de la campaña, lo que plantea dudas sobre si los ataques están motivados financieramente o respaldados por el estado.
"La gran cantidad de computadoras de ingeniería atacadas, incluidos los sistemas utilizados para el modelado físico y 3D, el desarrollo y uso de gemelos digitales, plantea el tema del espionaje industrial como uno de los posibles objetivos de la campaña", dijeron los investigadores.