Los investigadores de ciberseguridad han identificado un nuevo malware denominado Speagle que secuestra la funcionalidad y la infraestructura de un programa legítimo llamado Cobra DocGuard.

«Speagle está diseñado para recopilar subrepticiamente información confidencial de ordenadores infectados y transmitirla a un servidor Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de filtración de datos como comunicaciones legítimas entre el cliente y el servidor», afirman los investigadores de Symantec y Carbon Black dijo en un informe publicado hoy.

Cobra DocGuard es una plataforma de cifrado y seguridad de documentos desarrollada por eSafeNet. El abuso de este software en ataques del mundo real ha sido grabada públicamente dos veces hasta la fecha. En enero de 2023, ESET documentó una intrusión en la que una empresa de juegos de azar de Hong Kong se vio comprometida en septiembre de 2022 mediante una actualización maliciosa impulsada por el software.

adsense

Más tarde, ese mismo mes de agosto, Symantec destacó la actividad de un nuevo grupo de amenazas con nombre en código Carderbee, que se descubrió que utilizaba una versión troyanizada del programa para implementar PlugX, una puerta trasera muy utilizada por grupos de hackers chinos como Mustang Panda. Los ataques se dirigieron a varias organizaciones de Hong Kong y otros países asiáticos.

Speagle permanece sin atribuir hasta la fecha. Pero lo que hace que el malware sea digno de mención es que está diseñado para recopilar y filtrar datos únicamente de aquellos sistemas que tienen instalado el software de protección de datos Cobra DocGuard. La actividad se está rastreando con el nombre de Runningcrab.

«Esto indica un ataque deliberado, posiblemente para facilitar la recopilación de información o el espionaje industrial», dijeron los equipos de caza de amenazas propiedad de Broadcom. «En la actualidad, creemos que las hipótesis más probables son que se trata de la obra de un actor patrocinado por el estado o de un contratista privado contratado».

Se desconoce exactamente cómo se entrega el malware a las víctimas, aunque se sospecha que puede haber sido mediante un ataque a la cadena de suministro, como lo demuestran los dos casos antes mencionados.

Además, merece una mención el papel central que desempeñan el software de seguridad y su infraestructura. Speagle no solo usa un servidor Cobra DocGuard legítimo para el comando y el control (C2) y como punto de filtración de datos, sino que también invoca un controlador asociado al programa para borrarse del host comprometido.

El ejecutable.NET de 32 bits, una vez lanzado, primero comprueba la carpeta de instalación de Cobra DocGuard y, a continuación, procede a recopilar y transmitir los datos de la máquina infectada por fases. Esto incluye detalles sobre el sistema y los archivos ubicados en carpetas específicas, como las que contienen el historial del navegador web y los datos de rellenado automático.

enlaces

Además, se ha descubierto que una variante de Speagle incorpora funciones adicionales para activar/desactivar ciertos tipos de recopilación de datos, así como para buscar archivos relacionados con misiles balísticos chinos como el Dongfeng-27 (también conocido como DF-27).

«Speagle es una amenaza parasitaria novedosa que utiliza hábilmente el cliente de Cobra DocGuard para enmascarar su actividad maliciosa y su infraestructura para ocultar el tráfico de exfiltración», afirman los investigadores. «No cabe duda de que su desarrollador se dio cuenta de los ataques anteriores a la cadena de suministro que utilizaban el software y es posible que lo haya elegido tanto por su vulnerabilidad percibida como por su alta tasa de uso entre las organizaciones objetivo».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.