LuxPlague: actor que apunta a usuarios corporativos de Argentina con malware

Investigadores de ESET descubrieron un actor de amenazas que viene llevando adelante campañas maliciosas enfocadas en usuarios corporativos de Argentina distribuyendo un conocido troyano de acceso remoto (RAT, por sus siglas en inglés) para espiar en los equipos de sus víctimas. Podemos afirmar, con un alto nivel de confianza, que este actor malicioso no es muy sofisticado y que es del mismo país que las organizaciones apuntadas.

Decidimos llamarlo LuxPlague, ya que tras un exhaustivo análisis de distintas muestras de malware utilizadas pudimos determinar que, según los datos de nuestra telemetría, este actor de amenazas es el responsable del mayor porcentaje de detecciones de NjRAT en Argentina, un popular troyano que suele ser utilizado por otros actores maliciosos como plantilla de malware.



Los correos que se han detectado contenían como adjunto un archivo comprimido en formato ZIP que contiene un archivo .vbs con un script que descarga un falso archivo JPG de un servicio web de hosting de archivos.

La falsa imagen JPG es en realidad un script Powershell que contiene al troyano codificado en base64. Una vez decodificado lo ejecuta dinámicamente utilizando funciones de .NET framework, por lo que el script no almacena al troyano en el disco directamente.

Como adelantamos, el malware que utiliza LuxPlague es una variante de NjRAT, un troyano de código abierto que se cree fue desarrollado originalmente en Medio Oriente y cuyo código después se filtró. La variante utilizada por LuxPlague fue creada por el mismo actor que desarrollo LimeRAT, una versión más poderosa de NjRAT que ha sido utilizada por otros cibercriminales en múltiples campañas a lo largo del mundo.

Capacidades del RAT distribuido por LuxPLague:

  • Conexión al servidor C&C vía Sockets TCP en tiempo real
  • Realizar capturas de pantalla en el equipo comprometido
  • Realizar captura de imágenes a través de la cámara web
  • Registrar pulsaciones de teclado (Keylogging)
  • Ampliar sus capacidades mediante plugins
  • Enumeración de ventanas
  • Establecer persistencia modificando el Registro de Windows y desinstalación automática del malware
  • Actualizarse
  • Modificar el registro de Windows
  • Descargar archivos comprimidos en formato GZIP, extraer su contenido y ejecutarlo
  • Descargar archivos ejecutables desde un servidor web y ejecutarlos

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.