• Home /

  • /

  • La campaña de malware contra gobiernos de Oriente Medio que usa poemas en español

Ciberseguridad

La campaña de malware contra gobiernos de Oriente Medio que usa poemas en español

La firma de ciberseguridad Kaspersky ha dado cuenta de ella y la ha bautizado con un nombre bastante curioso: DuneQuixote.

Periodista

2 minutos

malware DuneQuixote

La compañía de ciberseguridad de origen ruso Kaspersky ha identificado una campaña de malware que ha apuntado desde hace tiempo contra entidades gubernamentales de Oriente Medio y que destaca por su uso de herramientas "diseñadas para el sigilo y la perseverancia". 

A la misma la ha llamado 'DuneQuixote', como una mezcla entre el famoso personaje de Miguel de Cervantes y el paisaje desértico de la película Dune.

La campaña fue descubierta el pasado mes de febrero. Se hallaron más de 30 muestras de droppers de DuneQuixote empleadas activamente.

Dichos droppers, existentes en dos versiones (droppers normales y archivos de instalación manipulados para una herramienta legítima llamada Total Commander) llevaban código malicioso para descargar una carga útil adicional en forma de una puerta trasera que la empresa de antivirus ha denominado CR4T. 

El grupo de ciberdelincuentes que ha orquestado estos ataques tomó medidas para la recopilación y el análisis de sus implantes e implementó métodos de evasión prácticos y bien diseñados tanto en el código del malware, como en las comunicaciones de red. 

Que Kaspersky haya decidido escoger al famoso hidalgo español tiene una razón. El malware inicia una serie de llamadas API señuelo que involucran funciones de comparación de cadenas. Estas cadenas son fragmentos de poemas en español. Los mismos varían de una muestra a otra, alterando así la firma de cada muestra para eludir la detección, según recoge en su web SecureList

Hackers con capacidades superiores a la media

Según la telemetría de Kaspersky, ya había víctimas radicadas en Oriente Medio desde al menos febrero de 2023. 

La firma encontró varias cargas a un servicio semipúblico de escaneo de malware en una etapa posterior. Dichas cargas también se originaron en Oriente Medio. Además, otras fuentes fueron nodos de salida de VPN ubicados geográficamente en Corea del Sur, Luxemburgo, Japón, Canadá, Países Bajos y EE.UU.

La compañía de ciberseguridad asegura que el descubrimiento de las versiones C/C++ y Golang del implante CR4T resalta la adaptabilidad y el ingenio de los actores de amenazas detrás de esta campaña.

"Mediante el despliegue de implantes de memoria y droppers disfrazados de software legítimo, imitando al instalador de Total Commander, los atacantes demuestran capacidades y técnicas de evasión superiores a la media", explican.