Investigadores de seguridad pertenecientes a Check Point Research (CPR) han descubierto que el grupo de piratas informáticos vinculados al gobierno ruso Midnight Blizzard (también conocidos como APT29 o Cozy Bear) están sirviéndose de un nuevo malware llamado GrapeLoader para atacar a diplomáticos europeos.
La banda lleva desde enero enviando correos electrónicos falsos a embajadas y organizaciones diplomáticas de todo el Viejo Continente, según se hace eco Hackread.
Los actores de amenazas ingresan en sus sistemas informáticos y, posteriormente, instalan una versión actualizada y más furtiva de un programa de puerta trasera denominado WineLoader una vez dentro.
En un principio los hackers envían correos electrónicos que simulan ser invitaciones oficiales del Ministerio de Asuntos Exteriores de un país, invitando a catas de vino. Si el primero falla, los hackers mandan más.
El email contiene un enlace malicioso que inicia la descarga de un archivo denominado wine.zip. Una vez se abre este ejecuta tres archivos, incluyendo uno camuflado llamado ppcore.dll que actúa como el programa GrapeLoader.
Este último copia el contenido del archivo wine.zip a una nueva ubicación en el disco duro del ordenador y modifica la configuración para que ejecute automáticamente un programa denominado wine.exe al encenderse. Así, se garantiza que los hackers mantienen el acceso.
Algo ya visto
La campaña sería una continuación de una anterior que usaba una puerta trasera conocida como WINELOADER, documentada por Zscaler en febrero del año pasado.
WineLoader es capaz de recopilar información confidencial de los ordenadores infectados, facilitando a los hackers sus operaciones de ciberespionaje.
Los investigadores encontraron que esta nueva versión es más difícil de detectar debido a sus técnicas de ocultación de código, mientras que las versiones anteriores eran comparativamente más fáciles de analizar con herramientas automatizadas.
Por su parte, los expertos hablan de GrapeLoader como una herramienta relativamente nueva, usada en las primeras etapas de este ataque para recopilar información sobre el equipo infectado, garantizar que los hackers mantengan el acceso y descargar la siguiente etapa de su ataque: la puerta trasera WineLoader.
Para no ser detectadoGrapeLoader puede llevar a cabo ciertos trucos, como ocultar texto dentro de su código.