Global Preloader
Noticia Internacional
(16/Jun/2017) Kasperagent, spyware distribuido a través de documentos palestinos

Kasperagent, spyware distribuido a través de documentos palestinos

Los investigadores descubrieron una nueva campaña de espionaje cibernético con Kasperagent y aunque no está claro quién era el objetivo, los documentos de señuelo utilizados para entregar el malware se centraron en Palestina.

El primer informe que describe las actividades de este grupo de amenazas fue publicado en marzo por la firma china de seguridad Qihoo 360, que sigue al actor como APT-C-23 y Two-Tailed Scorpion. A principios de abril, Palo Alto Networks y ClearSky también hicieron públicos los resultados de una investigación conjunta de este grupo.

El grupo utiliza el malware de Windows llamado Kasperagent y Micropsia y el malware de Android llamado SecureUpdate y Vamp en ataques dirigidos principalmente a Palestina. Algunas infecciones también se han observado en Israel, Egipto y los Estados Unidos.

Los investigadores de la firma de inteligencia de amenazas ThreatConnect recientemente se encontraron con decenas de muestras de Kasperagent que se habían compilado en abril y mayo.

Estas muestras dejaron varios documentos asociados con la Autoridad Palestina, el cuerpo gobernante de las nuevas regiones autónomas palestinas de Cisjordania y la Franja de Gaza. Los documentos referían temas como el asesinato del líder militar de Hamas Mazen Fuqaha y la prohibición del partido político palestino Fatah de Gaza.

Kasperagent se ha utilizado principalmente como una herramienta de reconocimiento y descargador, pero algunas muestras más recientes incluyen capacidades adicionales que permiten a los atacantes robar contraseñas de los navegadores, tomar capturas de pantalla, registrar pulsaciones de teclas, ejecutar comandos arbitrarios y ex filtrar archivos.

Mientras que las muestras de malware encontradas por ThreatConnect eran similares a las analizadas por Palo Alto Networks y ClearSky hace unos meses, el servidor de comandos y control (C & C) que contactaron fue diferente.

Un análisis de la infraestructura de C&C mostró que el dominio contactado por el malware estaba alojado en una dirección IP que almacenaba cuatro dominios, incluidos dos registrados por un desarrollador web freelance de Gaza.

"Al igual que no podemos hacer una determinación definitiva en cuanto a quién llevó a cabo esta campaña, no sabemos con seguridad a quién estaba destinado a apuntar. Lo que sí sabemos es que varios de los archivos maliciosos fueron enviados a un sitio público de análisis de malware de los Territorios Palestinos. Esto nos dice que es posible que los actores de la amenaza o al menos uno de los objetivos se encuentre en esa zona".

Los expertos creen que el ataque pudo haber sido dirigido a Hamas, Israel o al partido Fatah, cuyos miembros incluyen al primer ministro y presidente de la Autoridad Palestina.

Los ataques se llevaron a cabo poco después de que Hamas creara una institución paralela para dirigir los ministerios locales en Gaza, lo que causó más tensión entre Hamas y la Autoridad Palestina, y justo antes de que la Autoridad Palestina celebrara elecciones en Cisjordania.