Lazarus Group despliega un framework de malware

Lazarus Group, un sofisticado grupo de hackers con vínculos con el gobierno norcoreano, está utilizando ahora un nuevo marco de malware para propagar el rescate y robar bases de datos, según la firma de seguridad Kaspersky.

El framework, apodado MATA por Kaspersky, es una herramienta multiplataforma utilizada para apuntar a sistemas operativos Windows, Linux y macOS, según los investigadores. El framework tiene varios componentes maliciosos, está activo desde 2018 y es utilizado por Lazarus Group para infiltrarse en las redes corporativas para robar la base de datos de las víctimas y difundir el software de rescate.

No está claro cuántas víctimas fueron objetivo de esta nueva herramienta, pero los investigadores señalan que el grupo ha utilizado MATA para atacar a víctimas en Polonia, Alemania, Turquía, Corea, Japón y la India, según Kaspersky.

Los investigadores advierten además que es probable que el marco evolucione hacia un modelo aún más avanzado en los próximos meses.

Así es como funciona la MATA contra los sistemas operativos, según Kaspersky:

Windows: Para comprometer a Windows, el marco de trabajo de MATA utiliza múltiples componentes de malware. Esto incluye un malware de carga para descargar la siguiente etapa de carga, que luego carga un conjunto de 15 plugins para realizar tareas como recuperar la información del sistema, acceder a los archivos y enviarlos a los servidores de comando y control.

En algunos casos, los atacantes también utilizaron el marco para difundir software de rescate que encriptaba los archivos, señalan los investigadores.

Linux: Este marco de malware consiste en diferentes componentes y herramientas de hacking, dicen los investigadores. También se está propagando a través de un sitio de distribución legítimo y viene con un guion malicioso para explotar una vulnerabilidad de un conector de widgets en el Atlassian Confluence Server, una herramienta de colaboración de trabajo.

Un informe de la empresa de seguridad Netlab, que descubrió esta versión de los marcos MATA en diciembre de 2019, señaló que el malware es un troyano de acceso remoto totalmente funcional o RAT.

MacOS: Los investigadores de Kaspersky señalan que descubrieron esta versión del marco de MATA cargada en VirusTotal el 8 de abril. Se propaga como un MinaOTP troyano - una aplicación macOS basada en una aplicación de autenticación de dos factores de código abierto.

En las tres versiones, los hackers utilizaron plugins maliciosos para encontrar una base de datos para victimizar, en particular bases de datos de clientes, según el informe.