El mítico juego para Windows Buscaminas está sirviendo a los ciberdelincuentes para perpetrar una serie de ciberataques contra organizaciones estadounidenses y europeas.
Los piratas informáticos utilizan código de un clon de Python del juego para ocultar scripts maliciosos.
CSIRT-NBU y CERT-UA, ambos organismos dedicados a la ciberseguridad en Ucrania, han atribuido los ataques a un actor de amenazas con el nombre en código UAC-0188, el cual está usando el código legítimo para ocultar scripts de Python que descargan e instalan SuperOps RMM.
Superops RMM es un software de gestión remota legítimo, pero en este caso los actores de amenazas se sirven de él para conseguir acceso directo a los sistemas comprometidos, según se hace eco Bleeping Computer.
Cómo se realiza el ataque
Los cibermalos se hacen pasar por un centro de salud y mandan sus correos elecrónicos desde la dirección support@patient-docs-mail.com, indicando que mandan unos documentos médicos.
En dichos emails piden a los destinatarios que descarguen un archivo .SCR desde un enlace de Dropbox. El archivo contiene código inofensivo de un clon de Python del Buscaminas, pero se acompaña de código Python malicioso que descarga scripts adicionales desde una fuente remota.
La idea de incluir código del Buscaminas en el ejecutable es una 'tapadera' y una estrategia para engañar al software de seguridad, tratando de que parezca benigno.
Para darle mayor 'empaque', el código del juego contiene una función "create_license_ver" que se reutiliza para decodificar y ejecutar el código malicioso oculto, utilizando componentes de software legítimos para enmascarar y facilitar el ciberataque.