Recientemente, investigadores de seguridad revelaron nueva información sobre WezRat.
WezRat es una sofisticada familia de malware asociada con el grupo cibernético iraní Emennet Pasargad.
El grupo opera bajo varios alias, incluido Alia Separ Ayandehsan (ASA), y tiene vínculos con el Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC).
El FBI, el Departamento del Tesoro de Estados Unidos y la Dirección Nacional de Ciberseguridad de Israel (INCD) publicaron conjuntamente un aviso de ciberseguridad el 30 de octubre.
Correo electrónico de phishing enviado a un destinatario en Israel (Fuente – CheckPoint)
Los analistas de ciberseguridad de Check Point observaron que el aviso de ciberseguridad se centra en las actividades recientes de Emmennet Pasargado.
Mediados de 2023: pirateó un servicio de SMS sueco para entregar mensajes relacionados con la quema del Corán Diciembre de 2023: comprometió una empresa de transmisión de IPTV con sede en EE. UU. para transmitir mensajes relacionados con el conflicto entre Israel y Hamas 2024 Mediados de verano: campaña de desinformación basada en cibernética comienza a atacar a los atletas olímpicos israelíes
Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)
Análisis WezRat
Check Point Research ha identificado que la última versión de WezRat se distribuye a través de una campaña de phishing a gran escala que se hace pasar por INCD y se dirige a organizaciones en Israel.
Cadena de infección (Fuente – CheckPoint)
Las principales características de WezRat son:
Escrito en C++ Utiliza la tecnología de ofuscación OLLVM Recopila información del sistema, incluida la IP, el nombre de la computadora y el nombre de usuario. Se comunica con servidores de comando y control (C2) mediante comandos cifrados. Carga de archivos, captura de pantalla, registro de teclas y más. Admite varios comandos de
WezRat ha experimentado un desarrollo significativo desde que se publicó su primera versión conocida en agosto de 2023. La funcionalidad de este malware se ha ampliado para incluir:
Mecanismos de persistencia Funcionalidad de captura de pantalla Registro de teclas Portapapeles Fuga de datos Robo de cookies del navegador
Los investigadores obtuvieron información sobre la infraestructura backend de WezRat y descubrieron:
Escrito originalmente en JavaScript para Node.js utilizando una base de datos MySQL. Posteriormente se migró a Kestrel alrededor de marzo de 2024. Los equipos de desarrollo y operaciones pueden estar separados.
WezRat representa una amenaza importante en el campo del ciberespionaje. Su continuo desarrollo y mejora demuestra el compromiso de Emmennet Passagad de seguir siendo una herramienta versátil y evasiva para las operaciones cibernéticas.
Las actividades del grupo plantean un riesgo no sólo para sus adversarios políticos directos, sino también para cualquier entidad que pueda influir en la narrativa nacional o internacional de Irán.
A medida que WezRat continúa evolucionando, los profesionales y las organizaciones de ciberseguridad deben permanecer atentos y adaptar sus defensas para combatir esta amenaza de malware avanzada.
Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.
