LitterDrifter vinculado al grupo ruso de cibercrimen

Se ha observado que actores rusos de ciberespionaje vinculados al Servicio Federal de Seguridad (FSB) emplean un gusano que se propaga por USB llamado LitterDrifter en ataques dirigidos a entidades ucranianas. Check Point, que describió las tácticas recientes del grupo conocido como Gamaredon (también conocido como Aqua Blizzard, Iron Tilden, Primitive Bear, Shuckworm y Winterflounder), las caracterizó por llevar a cabo extensas campañas seguidas de esfuerzos de recopilación de datos específicos, probablemente impulsados por objetivos de espionaje.

El gusano LitterDrifter abarca dos funcionalidades principales: propagación automática del malware a través de unidades USB conectadas y comunicación con los servidores de comando y control (C&C) del actor de la amenaza. Se sospecha que es un avance de un gusano USB basado en PowerShell divulgado por Symantec en junio de 2023.

LitterDrifter en detalle

Desarrollado en VBS, el módulo esparcidor es responsable de difundir el gusano como un archivo oculto en una unidad USB junto con un archivo LNK señuelo con nombres aleatorios. El nombre "LitterDrifter" se deriva del componente de orquestación inicial denominado "trash.dll".

El enfoque distintivo de Gamaredon hacia C&C implica el uso de dominios como marcadores de posición para las direcciones IP reales de los servidores C2 en circulación, como lo explica Check Point. Además, LitterDrifter puede conectarse a un servidor C&C obtenido de un canal de Telegram, una táctica empleada constantemente por el actor de amenazas desde al menos principios de año.

La empresa de ciberseguridad también observó indicios de posibles infecciones más allá de Ucrania, según los informes de VirusTotal de Estados Unidos, Vietnam, Chile, Polonia, Alemania y Hong Kong.

¿Qué es el malware de gusano?

Un gusano es un tipo de software malicioso (malware) que está diseñado para replicarse y propagarse a otras computadoras o dispositivos de forma autónoma, a menudo sin necesidad de intervención humana. A diferencia de los virus, los gusanos no necesitan adjuntarse a programas o archivos existentes para propagarse; pueden viajar de forma independiente a través de redes y sistemas.

Las características clave del malware tipo gusano incluyen:

• Autopropagación: los gusanos están programados para replicarse y propagarse de forma independiente a través de dispositivos o redes conectados. Pueden explotar vulnerabilidades en sistemas operativos o aplicaciones para infectar otras computadoras.
• Autonomía: los gusanos operan sin participación humana directa. Una vez que un sistema está infectado, el gusano puede buscar e infectar activamente otros sistemas vulnerables sin necesidad de acción por parte del usuario.
• Propagación basada en la red: los gusanos a menudo se propagan a través de conexiones de red, como Internet, redes de área local (LAN) o medios extraíbles como unidades USB. Pueden aprovechar las debilidades de los protocolos de red para pasar de un sistema a otro.
• Carga útil: Además de replicarse, los gusanos pueden transportar una carga útil, que es la actividad maliciosa real para la que están diseñados. Esto podría incluir dañar o eliminar archivos, robar información o facilitar otras formas de ciberataques.
• Persistencia: algunos gusanos están diseñados para permanecer activos en los sistemas infectados durante un período prolongado, lo que les permite continuar con sus actividades maliciosas o recibir instrucciones actualizadas desde un servidor remoto de comando y control.