26 de septiembre de 2024Ravie Lakshmanan Ciberataque/Malware
Se ha observado que los actores de amenazas vinculados a Corea del Norte aprovechan dos nuevas cepas de malware llamadas KLogEXE y FPSpy.
Esta actividad se atribuye a un actor identificado como Kimsuky, también conocido como APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet (anteriormente Thallium), Sparkling Pisces, Springtail y Velvet Chollima.
“Estas muestras mejoran aún más el ya rico arsenal de Sparkling Piscis y demuestran la evolución continua y las capacidades crecientes del grupo”, dijo Daniel Frank, investigador de la Unidad 42 de Palo Alto Networks, dijo Lior Rochberger.
El actor de amenazas, que ha estado activo desde al menos 2012, ha sido apodado el “rey del phishing” por su capacidad para engañar a las víctimas para que descarguen malware haciendo que parezca que el correo electrónico proviene de una fuente confiable.
El análisis de la Unidad 42 de la infraestructura de Sparkling Piscis reveló dos nuevos ejecutables portátiles llamados KLogEXE y FPSpy.
KLogExe es una versión C++ del keylogger InfoKey basado en PowerShell que JPCERT/CC nos llamó la atención en relación con la campaña de Kimsuky dirigida a organizaciones japonesas.
Este malware tiene la capacidad de recopilar y robar información sobre las aplicaciones que se están ejecutando actualmente, las pulsaciones de teclas escritas y los clics del mouse en una estación de trabajo comprometida.
Por otro lado, se dice que FPSpy es una variante de una puerta trasera publicada por AhnLab en 2022 y se ha confirmado que se superpone con el malware que Cyberseason documentó a finales de 2020 con el nombre KGH_SPY.
Además del registro de teclas, FPSpy está diseñado para recopilar información del sistema, descargar y ejecutar más cargas útiles, ejecutar comandos arbitrarios y enumerar unidades, carpetas y archivos en dispositivos infectados.
La Unidad 42 también observó similitudes en el código fuente de KLogExe y FPSpy, diciendo que probablemente fueron escritos por el mismo autor.
“La mayoría de los objetivos observados durante nuestro estudio eran de Corea del Sur y Japón, lo que es consistente con los objetivos anteriores de Kimski”, dijeron los investigadores.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/n-korean-hackers-deploy-new-klogexe-and.html
