Los investigadores de Symantec han estado monitorizando una campaña de espionaje cibernético dirigida principalmente a organizaciones y ejecutivos surcoreanos que hacen negocios con Corea del Sur.
Según los expertos, los objetivos de los atacantes son representados por sociedades financieras y de inversión, organizaciones de infraestructura y desarrollo, contratistas de defensa y agencias gubernamentales. Los blancos están ubicados en todas partes del mundo, incluyendo en Corea, Australia, Brasil y Estados Unidos.
La operación contra las entidades relacionadas con Corea comenzó en 2009. Los ciberdelincuentes han estado utilizando el troyano Backdoor.Egobot, al que han mejorado continuamente.
Un ataque habitual sigue cuatro reglas fundamentales: identificar los objetivos, explotarlas con el fin de infiltrar malware, robar información y no ser detectados.
Una vez que se haya identificado un objetivo, los atacantes utilizan técnicas de ingeniería social para recopilar información. Luego, utilizan correos electrónicos de spear phishing para engañar a personas desde dentro de la organización y convencerlas para descargar y ejecutar un malware.
Los archivos adjuntos pueden ser .lnk, .doc o .hwp. Al ser ejecutados, se desencadena un proceso de descarga de tres etapas.
En primer lugar, se descarga un archivo .html alterado, que infiltra un ejecutable en el ordenador infectado. A su vez, este ejecutable descarga un archivo RAR, que recupera el componente backdoor. Los archivos maliciosos están alojados en GeoCities Japón.
La carga principal es capaz de realizar varias tareas, incluso grabar audio y vídeo, tomar capturas de pantalla, subir archivos a un servidor remoto, obtener una lista de documentos recientes, buscar una cadena determinada en los archivos, eliminar y crear puntos de restauración.
Para permanecer oculto, Egobot utiliza tres componentes: un componente de desvío que lo ayuda a disfrazarse de un proceso limpio, un componente de coordinador que mueve archivos y los inyecta en procesos legítimos y una funcionalidad de temporizador que hace que el troyano se elimine automáticamente después de una fecha determinada.
Symantec cree que la misma organización ciberdelincuente está detrás de una campaña más amplia y frecuente que se basa en Infostealer.Nemim.
http://news.softpedia.es/Los-ciberdelincuentes-utilizan-el-troyano-Egobot-para-atacar-a-organizaciones-relacionadas-con-Corea-del-Sur-391363.html