Resumen: 

Organizaciones gubernamentales y sistemas de control industrial (ICS) son el objetivo de una campaña masiva de malware denominada “PseudoManuscrypt” que ha intentado propagarse en más de 35,000 ordenadores alrededor de todo el mundo. 

 

Investigadores de la firma en ciberseguridad Kaspersky, nombraron el software espía por sus similitudes con el malware “Manuscrypt” del grupo de amenazas persistentes avanzadas (APT) Lazarus. 

 

Quienes están detrás de esta nueva campaña, ejecutan instaladores de software falsos específicamente diseñados a fin de descargar el malware en los sistemas objetivo. Estos archivos de instalación tienen la capacidad de crear un dispositivo maestro MODBUS y recibir datos de un controlador lógico programable. 

 

Entre los instaladores pirateados que se utilizan para alimentar la red de bots se encuentran Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, SolarWinds Engineer's Toolset e incluso la propia solución antivirus de Kaspersky.  

 

Kaspersky ha señalado que los actores de amenaza probablemente están obteniendo los instaladores falsos de alguna plataforma de malware como servicio (MaaS) que los ofrece a los operadores de campañas con fines maliciosos. 

 

Así mismo se ha observado que el módulo principal del malware cuenta con un kit de herramientas complejo con las siguientes capacidades: 

  • Registrar las pulsaciones del teclado. 
  • Tomar capturas y vídeos de la pantalla. 
  • Filtrar los datos del portapapeles. 
  • Emplear el micrófono del sistema para grabar el sonido. 
  • Robar datos de conexión a la VPN. 
  • Robar datos del registro de eventos del sistema operativo que permite el robo de datos de autenticación del Protocolo de Escritorio Remoto (RDP). 

Capacidades que convierten a PseudoManuscrypt en una herramienta capaz de otorgarle a los atacantes el control total de los sistemas infectados. 

 

Del mismo modo, el flujo de ejecución para la instalación del software, tiene múltiples variantes que descargan y ejecutan diversos programas maliciosos, incluyendo backdoors, criptomineros, adware y spyware. Además, en cada una de las etapas de PseudoManuscrypt, hay una gran variedad de droppers con módulos diseñados para robar datos. 

 

Aunque aún no se sabe quién está detrás de la red de bots, los investigadores han encontrado comentarios en chino en los metadatos de archivos ejecutables del malware y han observado que los datos enviados al servidor de los atacantes utilizan una biblioteca que solía utilizar un malware de un grupo chino APT41. 

 

Finalmente, Kaspersky añadió en el informe que la campaña podría tratarse de una operación de espionaje industrial debido al gran número de ordenadores de ingeniería que han sido atacados.  

Recomendaciones: 

Se le recomienda a los usuarios mantener sus dispositivos al día y emplear prácticas básicas de ciberseguridad 

                                                  

Referencias: 

https://threatpost.com/pseudomanuscrypt-mass-spyware-campaign/177097/ 

https://thehackernews.com/2021/12/new-pseudomanuscrypt-malware-infected.html 

 

 

Folio 127