KamiKakaBot apunta a organismos gubernamentales asiáticos

Durante febrero de 2023, los investigadores de EclecticIQ descubrieron una serie de malwares conocidos como KamiKakaBot.

Se descubrió que estas instancias de malware se habían dirigido a instituciones gubernamentales en los países de la ASEAN. Se observó que los ataques que tuvieron lugar en febrero fueron similares a los informados por Group-IB en enero de 2023, donde los actores de amenazas utilizaron imágenes ISO para entregar KamiKakaBot a través de la técnica de carga lateral de DLL. Sin embargo, en la campaña de febrero, se mejoró la rutina de ofuscación para evadir mejor las medidas antimalware. Al identificar múltiples superposiciones, los analistas de EclecticIQ pudieron atribuir los ataques al grupo APT Dark Pink, que está activo en la región de la ASEAN.

Se cree que el grupo Dark Pink comenzó a operar a mediados de 2021 y aumentó su actividad en 2022. La función principal de KamiKakaBot es robar datos almacenados en los navegadores web, como credenciales guardadas, historial de navegación y cookies. Los desarrolladores de KamiKakaBot utilizan varias técnicas para pasar desapercibidos mientras ejecutan acciones maliciosas en dispositivos infectados, como archivos binarios Living-off-the-Land (LOLBIN) como MsBuild.exe.

Métodos de distribución para KamiKaka y modo de operación

Los correos electrónicos de phishing se utilizan para distribuir KamiKakaBot, que se presenta como un archivo adjunto ISO malicioso. Este archivo contiene un WinWord.exe legítimo firmado por Microsoft, que se aprovecha para la técnica de carga lateral de DLL. Cuando el usuario hace clic en WinWord.exe, el cargador KamiKakaBot (MSVCR100.dll) ubicado en la misma carpeta que WinWord se carga automáticamente en la memoria y se ejecuta.

El archivo ISO malicioso también contiene un documento de Word señuelo con una sección cifrada codificada con XOR. El cargador KamiKakaBot utiliza esta sección para descifrar el contenido codificado con XOR del archivo señuelo y luego escribe la carga útil XML descifrada de KamiKakaBot en el disco (C:\Windows\temp) y la ejecuta a través de un binario living-off-the-land, MsBuild.exe.

KamiKakaBot es capaz de extraer información confidencial de los navegadores web Chrome, MS Edge y Firefox, y los datos robados se comprimen en un formato ZIP y se envían al canal de bots de Telegram de los atacantes. Después de la infección inicial, el atacante puede actualizar el malware o ejecutar código remoto en el dispositivo de destino, lo que permite más actividades posteriores a la explotación. Toda la comunicación entre el malware y el centro de comando y control se lleva a cabo a través de un bot de Telegram controlado por el actor de amenazas.

March 16, 2023
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.