Scarcruft crea malware para identificar dispositivos conectados a Bluetooth

Palabras clave

Contenido patrocinado: 
ScarCruft puede identificar los dispositivos Bluetooth conectados
Autor:
Kaspersky cree que esta amenaza está patrocinada por un estado y ataca generalmente a entidades gubernamentales y empresas con vínculos en la península de Corea
Agente de amenazas

Investigadores de Kaspersky Lab alertaron sobre la evolución de ScarCruft, un agente de amenazas en lengua coreana, que se encuentra probando nuevos ataques, desarrollando interés en los datos de dispositivos móviles y mostrando ingenio para adaptar herramientas y servicios legítimos a sus operaciones de ciberespionaje. Entre otras cosas, el grupo ha creado un código que puede identificar los dispositivos Bluetooth conectados.

Se cree que la amenaza persistente avanzada (APT, por sus siglas en inglés) ScarCruft está patrocinada por un estado y ataca generalmente a entidades gubernamentales y empresas con vínculos en la península de Corea, aparentemente en busca de información de interés político.

Te interesa leer: Herramienta gratuita de Kaspersky va más allá del malware

Los ataques del grupo comienzan con spear-phishing o comprometiendo un sitio web estratégico aprovechando una vulnerabilidad u otros trucos para infectar a ciertos visitantes. A esto le sigue la primera etapa de una infección que es capaz de eludir el UAC o control de cuentas del usuario de Windows, lo que le permite ejecutar la siguiente carga con privilegios más altos utilizando un código que se implementa normalmente en las organizaciones para realizar pruebas legítimas de penetración.

Para evadir la detección a nivel de red, el malware utiliza la esteganografía para ocultar el código malicioso en un archivo de imagen. La etapa final de la infección implica la instalación de una puerta trasera conocida como ROKRAT que se basa en servicios en la nube y recopila una amplia gama de información de los sistemas y dispositivos de las víctimas, y puede reenviarla a cuatro servicios en la nube: Box, Dropbox, pCloud y Yandex.Disk.

De acuerdo con la firma de ciberseguridad, las víctimas de esta campaña incluyen compañías de inversiones y comercio en Vietnam y Rusia que pueden tener vínculos con Corea del Norte y entidades diplomáticas en Hong Kong y Corea del Norte. Además, se descubrió que una de las víctimas infectada por ScarCruft en Rusia también había sido atacada por el grupo DarkHotel de lengua coreana.

Para evitar ser víctima de un ataque dirigido por un agente de amenazas conocido o desconocido, los investigadores de Kaspersky Lab recomiendan implementar medidas como proporcionar al equipo de SOC acceso al informe más reciente sobre Inteligencia de amenazas para mantenerse al día con las herramientas, técnicas y tácticas nuevas que utilizan los ciberdelincuentes, además de implementar soluciones EDR como Kaspersky Endpoint Detection and Response.

También recomiendan adoptar soluciones de seguridad de clase corporativa como Kaspersky Anti Targeted Attack Platform, para detecciones tempranas de amenazas, y realizar entrenamientos para fomentar conciencia sobre seguridad y habilidades prácticas, por ejemplo, a través de Kaspersky Automated Security Awareness Platform.

Contenido relacionado: