APT28 libera el malware SkinnyBoy
El grupo ruso Advanced Persistent Threat (APT), al que se hace un seguimiento con los alias APT28 o Fancy Bear, ha lanzado recientemente una nueva pieza de malware en la naturaleza. El malware, denominado SkinnyBoy, se utilizó contra varias instituciones gubernamentales en 2021. Los delincuentes parecen haber atacado a entidades asociadas con asuntos exteriores, militares y de defensa, y embajadas extranjeras. Si bien algunos de los ataques tenían como objetivo a miembros de la Unión Europea, SkinnyBoy Malware también se descubrió en redes comprometidas pertenecientes a organizaciones estadounidenses.
Pero, ¿qué hace exactamente SkinnyBoy Malware? Esta amenaza generalmente se envía a través de un correo electrónico de phishing, que incluye un documento de Microsoft Word. Si bien el archivo adjunto puede parecer legítimo, en realidad incluye un script malicioso, que extrae e inicializa un descargador de malware. Es probable que los delincuentes cambien su correo electrónico de phishing en función del destinatario; a menudo pretendían notificar al usuario de una invitación pendiente a un próximo evento internacional.
Una vez que la amenaza se haya implementado correctamente, no se lanzará de inmediato. En cambio, SkinnyBoy Malware programará Windows para que lo inicie la próxima vez que se inicie. La ejecución retrasada es un truco típico que utilizan los ciberdelincuentes para evitar ser detectados. Una vez en ejecución, SkinnyBoy Malware utilizará funciones legítimas de Windows para obtener datos sobre la configuración del software del sistema comprometido: systeminfo.exe y tasklist.exe. Aparte de esto, intentará descargar y lanzar cargas útiles adicionales, pero hasta ahora, estas no han sido identificadas.
Parece que el enfoque principal de SkinnyBoy Malware es el espionaje y obtener más control sobre el sistema / red comprometidos. Afortunadamente, los proveedores de productos antivirus ya están al tanto de la nueva amenaza, y los últimos parches de su software deberían ser más que suficientes para disuadir el ataque de SkinnyBoy Malware.