Global Preloader
Noticia Internacional
(08/Mar/2018) Ataque de phishing al MEXT para robar datos de investigación.

Ataque de phishing al MEXT para robar datos de investigación.

Una campaña de phishing dirigida a académicos en Japón usa un malware que filtra contraseñas y documentos de las computadoras de las víctimas.

BlackTech, el grupo responsable del ataque, es conocido por usar vulnerabilidades vendidas en los círculos de hackers de Black Hat y filtraciones de Hacking Team. BlackTech se ha centrado en organizaciones de Asia oriental desde al menos 2010, en los últimos meses ha participado en una campaña de phishing por correo electrónico en contra del MEXT (Ministerio japonés de Educación, Cultura, Deportes, Ciencia y Tecnología). Estos correos electrónicos contienen enlaces a descargas de Dropbox con malware llamado TSCookie por JPCERT que es el primer Computer Security Incident Response Team CSIRT de Japón.

TSCookie funciona como un cuentagotas que se conecta a un servidor de comando y control (C&C) para descargar el malware TSCookieRAT. Las variantes de TSCookie han dependido de las vulnerabilidades de anulación de derecha a izquierda (RTLO) CVE-2017-0199, documentos RTF de Microsoft Office. Otras variantes se basan en vulnerabilidades de Adobe Flash desarrolladas y divulgadas por la firma italiana “Hacking Team”.

Según expertos en seguridad de la información, TSCookie también utiliza las características de VPN de enrutadores vulnerables para crear nuevos servidores de C&C o nuevos servidores desde los cuales propagarse. También utiliza la vulnerabilidad CVE-2017-7269 en Microsoft IIS 6.0 para crear servidores adicionales de C&C.

La carga útil TSCookieRAT es capaz de ejecutar comandos de shell arbitrarios en una computadora infectada, así como enviar información de la unidad y el sistema a los atacantes, de acuerdo al informe de los investigadores de seguridad de la información. Además, puede enviar archivos y metadatos de archivos a los atacantes, y tiene una función para recolectar y transmitir contraseñas de Internet Explorer, Edge, Chrome, Firefox y Microsoft Outlook.

Además, otra carga utilizada por BlackTech contiene un token de actualización vinculado a cuentas de Gmail específicas utilizadas por los atacantes, que a su vez están vinculadas a una cuenta de Google Drive. Los archivos robados se cargan en estas unidades de Google, donde los atacantes pueden recolectarlos.

El asunto en los correos de esta campaña de phishing se traduce como “2018 MEXT Research Program”. El correo electrónico solicita al lector que envíe información sobre los planes de investigación. Dada la naturaleza de captura de archivos del malware, se puede decir que los atacantes están intentando robar datos de investigación.

Anteriormente BlackTech ha sido identificado por expertos de seguridad de la información como creador de ataques similares, incluido “Shrouded Crossbow”, que utiliza versiones modificadas del código fuente de puerta trasera BIFROST, que según la compañía estaba a la venta por $ 10,000. Teniendo esto en cuenta, BlackTech parece estar bien financiado, pero parece no tener la capacidad independiente de descubrir vulnerabilidades para usar en ataques.