Global Preloader
Noticia Internacional
(13/Nov/2017) Cyberespias chinos distribuyen nuevo malware a través de archivos CPL

Cyberespias chinos distribuyen nuevo malware a través de archivos CPL

Un grupo de ciberespionaje vinculado a China que puede haber estado activo desde el 2010 ha desarrollado una nueva pieza de malware que ha utilizado en ataques altamente dirigidos lanzados durante el año pasado.

El nuevo malware, denominado Reaver, fue analizado por investigadores de Palo Alto Networks, que identificaron diez muestras diferentes que representan tres versiones de la amenaza.

La carga final del malware se ha cargado utilizando los archivos del Panel de Control de Windows (CPL), lo que es muy poco común, Palo Alto Networks dijo que solo el 0.006% del malware que ha visto aprovecha esta técnica. Se observó un aumento en el malware CPL en 2013 y 2014 en Brasil, donde los ciberdelincuentes lo habían estado utilizando para entregar troyanos bancarios.

Basado en la infraestructura que utiliza, los expertos han vinculado a Reaver con SunOrcal, una pieza de malware utilizada por agentes de amenazas que se cree que se encuentra en China en ataques destinados a las elecciones presidenciales de enero de 2016 en Taiwán. También se dice que el grupo detrás de SunOrcal está usando el RAT Surtr, que ha estado vinculado a generadores de documentos maliciosos llamados HomeKit y Four Element Sword.

El actor de amenaza ha existido desde al menos 2013, pero algunas pruebas sugieren que puede haber estado activo desde el año 2010.

Palo Alto Networks no tiene información sobre los individuos u organizaciones que atacan a Reaver, pero según las campañas previas del grupo, los ataques probablemente apuntaban a uno de los "Cinco venenos" de China: los uigures, los tibetanos, Falun Gong, el movimiento democrático chino, y el movimiento por la independencia de Taiwan.

El malware abusa de la utilidad del Panel de Control en Windows, control.exe, para cargar el payload de Reaver. La primera versión de la amenaza utiliza HTTP para la comunicación, mientras que las versiones más recientes se basan en TCP.

Una vez que infecta un dispositivo, Reaver puede ayudar a sus operadores a recopilar información sobre el sistema comprometido, incluida la velocidad del CPU, nombre de la computadora, nombre de usuario, dirección IP, información de memoria y versión de Windows. El malware también puede leer y escribir archivos, alterarlos y registros, generar y finalizar procesos y modificar servicios.