LuminousMoth APT persigue objetivos en Filipinas y Myanmar

Los expertos en ciberseguridad han estado rastreando una nueva campaña de malware, que apunta a usuarios en Asia. Hasta ahora, los criminales detrás de esta operación han estado confiando exclusivamente en los correos electrónicos de spearphishing. Su campaña ha logrado infectar a más de 1.400 víctimas en Filipinas y unas 100 en Myanmar. Los criminales, rastreados bajo el alias LuminousMoth APT, podrían ser una subdivisión de un grupo más grande de Advanced Persistent Threat (APT) activo en la región: HoneyMyte. Otro ataque reciente contra usuarios y organizaciones en Myanmar involucró al malware KilllSomeOne .

Distribución de la carga útil de LuminousMoth APT a través de unidades USB secuestradas

La carga útil de los piratas informáticos se aloja en el servicio de Dropbox y se encuentra un enlace en los correos electrónicos de spearphishing. El archivo que los destinatarios terminan descargando es un archivo RAR que se ha disfrazado para parecerse a un documento de Microsoft Word. Una vez que se ejecuta, el implante malicioso comienza a exfiltrar datos al servidor de los atacantes. También puede extenderse lateralmente colocando su carga útil en unidades USB conectadas. Sus otras habilidades incluyen robar datos del navegador Google Chrome, así como disfrazarse como una versión de la popular aplicación Zoom.

La operación de robo de datos, que ejecuta LuminousMoth APT, es simple: escaneará el disco duro en busca de formatos de archivo específicos y luego los transferirá al servidor del atacante. Lo hace periódicamente y realiza comprobaciones adicionales para asegurarse de que no copiará datos que ya existen. Sorprendentemente, el componente ladrón de navegadores es muy simplista, considerando el alcance del ataque. Solo se dirige a Google Chrome y solo intenta robar cookies en lugar de otra información.

Hasta ahora, los investigadores no han podido precisar la razón por la que la operación parece ser mucho más exitosa en Filipinas en comparación con Myanmar. Las operaciones de espionaje, la infraestructura de red y otros recursos de LuminousMoth APT se superponen significativamente con las características de HoneyMyte APT.