Campanie malware derulată de Grupul LuminousMoth, descoperită de Kaspersky

Un program malware de tip phishing ce se răspândeşte prin intermediul e-mailurilor a fost descoperit, recent, de către specialiştii Kaspersky.

Potrivit unui comunicat de presă al companiei, transmis vineri Agerpres, campania de ameninţări persistente avansate (APT) este îndreptată împotriva utilizatorilor din Asia de Sud-Est, în special din Myanmar şi Filipine.

În acest sens, Kaspersky a identificat aproximativ 100 de victime în Myanmar şi 1.400 în Filipine, dintre care unele erau entităţi guvernamentale.

“Infectarea iniţială are loc prin e-mailuri de tip phishing care conţin un document Word rău intenţionat; odată descărcat pe un sistem, malware-ul se poate răspândi la alte gazde prin intermediul unităţilor USB. Campaniile de acest fel sunt, prin natura lor, foarte bine ţintite. Adesea, nu sunt vizaţi mai mult de câteva zeci de utilizatori, cu o precizie exactă. Cu toate acestea, Kaspersky a descoperit recent o campanie APT răspândită în Asia de Sud-Est. Acest grup de activităţi – denumit LuminousMoth – desfăşoară atacuri cibernetice de spionaj împotriva entităţilor guvernamentale cel puţin din luna octombrie 2020. În timp ce iniţial îşi concentrau atenţia asupra Myanmar, atacatorii şi-au direcţionat, de atunci, atacurile şi asupra Arhipelagului Filipine. Atacatorii urmăresc să atingă, de obicei, un prim punct de acces în sistem printr-un e-mail de tip spear-phishing cu un link de descărcare Dropbox. După ce aţi făcut click, acest link descarcă o arhivă RAR deghizată ca un document Word care conţine sarcina utilă rău intenţionată”, se menţionează în comunicat.

Experţii în securitate cibernetică subliniază că, odată descărcat pe un sistem, malware-ul încearcă să infecteze alte gazde prin răspândirea prin dispozitive USB.

“Dacă se găseşte o unitate, malware-ul creează directoare ascunse, unde apoi mută toate fişierele victimei, împreună cu executabilele rău intenţionate.Programul malware are, de asemenea, două instrumente post-exploatare care pot fi la rândul lor utilizate pentru o mişcare laterală. Una este o versiune falsă de Zoom, iar alta fură cookie-uri din browser-ul Chrome. Odată ajuns pe dispozitiv, LuminousMoth continuă să exfiltreze date către serverul de comandă şi control (C2). Pentru ţintele din Myanmar, aceste servere C2 erau adesea domenii care mimau că ar aparţine mass media”, susţin reprezentanţii în securitate cibernetică.

Kaspersky atribuie LuminousMoth, cu un grad de certitudine medie spre mare, grupului de ameninţări HoneyMyte, un cunoscut actor, lansat de mult timp, vorbitor de limbă chineză. HoneyMyte este interesat în primul rând de colectarea de informaţii geopolitice şi economice în Asia şi Africa.