El troyano Octopus usa el miedo sobre la prohibición de Telegram para infectar a los objetivos diplomáticos en toda Asia
Investigadores de seguridad descubrieron el troyano Octopus debido a una ola de ataques cibernéticos que se lanzaron contra entidades diplomáticas en Asia central.
Kaspersky Lab fue la empresa de seguridad que descubrió la campaña ha utilizado la reciente prohibición de Telegram en toda Rusia para hacer creer sobre los intentos de prohibir el servicio en algunas áreas soviéticas como Kazajistán para engañar a las víctimas y hacerles creer que están bajando una versión de Telegram que evita la censura y que es real.
Este troyano principalmente se enfoca a ordenadores con Windows. No se descarta que en el futuro aparezcan variantes para Linux.
El troyano se disfraza de Telegram
Este Troyano se intenta hacer pasar por un cliente de escritorio de Telegram legítimo, pero en lo que hace realmente es darle al atacante una vía para tener acceso remoto para secuestrar el ordenador víctimas. Además usa el símbolo de un reconocido partido político.
Kaspersky Lab cree que la nueva campaña puede tener vínculos con el grupo de amenazas de habla rusa DustSquad, que ha estado activo en todo el centro de Asia desde 2014.
"Hemos visto muchos actores de amenazas dirigidos a entidades diplomáticas en Asia central en 2018", dijo Denis Legezo, investigador de seguridad en Kaspersky Lab. "DustSquad ha estado trabajando en la región durante varios años y podría ser el grupo detrás de esta nueva amenaza. Aparentemente, el interés en los asuntos cibernéticos de esta región está creciendo constantemente.
Una inusual elección de bibliotecas por parte de DustSquaf
DustSquad es inusual en su elección de programación para el troyano Octopus, haciendo uso de Delphi y bibliotecas de terceros, como el proyecto Indy para comunicaciones de servidor de comando y control (C2) basadas en JSON y "TurboPower Abbrevia" para aportar las capacidades de compresión.
El troyano Octopus está empaquetado en un archivo denominado DVK. Traducido vendrían siendo "Elección Democrática de Kazajstán".
Ese archivo se disfraza como una variante de Telegram creado para los partidos de oposición de Kazajstán en Kazajstán.
El país amenazó a prohibir Telegram en abril, a menos que la compañía aceptara eliminar todo el contenido producido en la plataforma por DVK.
Funcionamiento de Octopus
Una vez se activo Octopus puedes realizar tareas que incluyen el robo y la eliminación de datos, habilitar el acceso a una puerta trasera y realizar tareas de vigilancia. Para evitar parecer un software malicioso no se incluyen características de correo o comunicaciones.
La persistencia se logra a través del registro del sistema de una manera simple, y el servidor, el alojamiento comercial con scripts .PHP y las direcciones IP codificadas.
Los investigadores no están seguros de cómo se está propagando este malware, pero dado que el software malicioso está dirigido a organizaciones políticas y diplomáticas específicas, es probable que la ingeniería social juegue un papel importante en la operación.
Fuente: Securelist