LuckyMouse un nuevo agente de amenazas que llega de China

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

El rasgo más peculiar de este malware es su driver o subrutina de instrucciones cuidadosamente seleccionado, que firma con un certificado digital legítimo emitido por una empresa productora de software relacionado con la seguridad de la información.

El grupo LuckyMouse es conocido por sus ciberataques dirigidos específicamente a grandes entidades de todo el mundo.

La actividad del grupo representa un peligro para regiones enteras, incluso el sureste y el centro de Asia, ya que sus ataques parecen tener una agenda política.

A juzgar por las características de las víctimas y los anteriores vectores de ataque de ese grupo, los investigadores creen que el troyano detectado podría haber sido utilizado para ciberespionaje respaldado por una Nación-Estado.

El troyano descubierto por los expertos infectó la computadora de una víctima por medio de un driver creado por los agentes de amenaza.

Esto permitió a los atacantes llevar a cabo todas las tareas comunes, como ejecutar órdenes, bajar y subir archivos, e interceptar el tráfico de la red.

El driver resultó ser la parte más interesante de esta campaña

Para hacerlo confiable, el grupo aparentemente robó un certificado digital que pertenece a un programador de software relacionado con la seguridad de la información y lo usó para firmar muestras de malware.

Esto se hizo para evitar que las soluciones de seguridad lo detectaran, ya que un desarrollador legítimo hace que el malware parezca un software legal.

Otra característica destacada del driver es que, a pesar de que LuckyMouse puede crear su propio malware, el software utilizado en el ataque parecía ser una combinación de muestras de código accesibles en depósitos públicos y malware especialmente diseñado.

Este simple hecho de adoptar un código de terceros listo para usar, en lugar de escribir código original, ahorra tiempo a los programadores y hace que sea más difícil atribuirlo a una fuente determinada.

 

Por Josep Verdura – Analista de Seguridad de Vintegris