El último malware pronto podría atacar el sistema operativo Linux y Mac
Según el informe, el malware de robo de información de Windows recientemente descubierto vinculado a un grupo activo rastreado como AridViper, explicó que podría usarse para infectar el sistema operativo Linux y Mac.
El troyano original llamado PyMICROPSIA por la Unidad 42 fue expuesto mientras investigaba la actividad de AridViper que también rastreaba como Desert Falcon y APT-C-23. Una organización de ciberespías de habla árabe que centra sus ataques en objetivos de Oriente Medio desde al menos 2011.
AridViper opera principalmente en Palestina, Egipto y Turquía y la mayoría de las víctimas que comprometieron superó las 3000 en 2015 [PDF]; según el Equipo Global de Investigación y Análisis.
Se inician nuevos vectores de ataque dentro del código:
- PyMICROPSIA es un malware basado en Python que se dirige específicamente al sistema operativo basado en Windows. PyInstaller generado binario del uso del ciberdelincuente. Unit 42 también ha descubierto fragmentos de código en los que su inventor está potencialmente trabajando para agregar soporte multiplataforma.
- Está diseñado principalmente para el sistema operativo Windows, pero el código contiene fragmentos interesantes que comprueban otros sistemas operativos como “posix” o “drawin” como unidad 42.
- Podría haber sido introducido por los desarrolladores del malware mientras copiaban el código de otros proyectos y podría muy bien ser eliminado en una versión futura del PyMICROPSIA torjan.
Robo de datos y entrega de cargas útiles adicionales:
- La Unidad 42 ha descubierto una larga lista de funciones al analizar el malware encontrado en el sistema comprometido y la carga útil o la descarga del servidor de comando y control (C2) de los atacantes en lo que respecta al troyano PyMICROPSIA.
- La lista de capacidades de control y robo de información incluye robo de datos, control de dispositivos y funciones adicionales de distribución de carga útil.
- PyMICROPSIA utiliza bibliotecas de Python para una amplia gama de propósitos, que van desde el robo de información y archivos hasta el proceso de Windows, el sistema de archivos y la interacción del registro.
- La capacidad de registro de teclas del troyano implementada mediante la API de estado GetAsynckey que forma parte de una única carga útil que descarga del servidor C2.
- Una carga útil descargada también se usa para ganar persistencia al reducir un acceso directo .LNK en la carpeta de inicio de Windows del sistema comprometida.