PseudoManuscrypt Spyware richt zich op ondernemingen en ICS

De PseudoManuscrypt Spyware is een nieuw kwaadaardig implantaat dat actief is sinds begin 2021. Deze specifieke dreiging is waarschijnlijk het product van een Advanced Persistent Threat (APT)-groep. Het lijkt op de beruchte Manuscrypt-malware die door de Lazarus-hackers werd gebruikt. Er zijn echter geen aanwijzingen dat beide bedreigingen het product zijn van dezelfde ontwikkelaars. De PseudoManuscrypt Spyware is gebruikt bij zeer gerichte aanvallen op overheidsinstanties en industriële controlesystemen (ICS.)

Het behoeft geen betoog dat industriële organisaties het favoriete doelwit zijn van zeer geavanceerde dreigingsactoren, aangezien hun netwerken ideaal zijn voor het verzamelen van informatie of voor financieel gewin. Een van de zorgwekkende feiten over deze specifieke malware is dat deze werd ontdekt op meer dan 35.000 computers die verspreid waren over 195 landen. De wereldwijde omvang van de PseudoManuscrypt Spyware-aanval toont zeker aan dat de criminelen erachter niet nieuw zijn in de scene en dat ze de expertise en ervaring hebben om een aanval van dit niveau te lanceren.

Vanwege de uiteenlopende profielen van hun doelwitten, lijken de criminelen te vertrouwen op een breed scala aan leveringstechnieken voor hun ladingen. Het interessante is dat veel slachtoffers zijn geïnfiltreerd via illegale software-installatieprogramma's, waaronder gekraakte kopieën van ICS-specifieke programma's. In de tussentijd hadden andere netwerken de PseudoManuscrypt Spyware op zich laten vallen dankzij een eerdere infiltratie via het Glupteba-botnet. De spyware kan toetsaanslagen registreren, VPN-referenties pakken, screenshots maken en klembordgegevens stelen. Het doel van de PseudoManuscrypt Spyware wordt verondersteld industriële spionage te zijn, maar de criminelen kunnen gemakkelijk overschakelen naar een ander doel als ze dat willen, dankzij de uitgebreide functies van de malware.