A fondo
Lazarus Group crea el nuevo marco de malware, MATA
Lazarus Group, el famoso grupo de hackers al que se le asignan vínculos con el régimen norcoreano, ha creado un nuevo marco de malware multiplataforma con el objetivo de infiltrarse en entidades corporativas de todo el mundo, robar bases de datos de clientes y distribuir ransomware.
El framework se conoce como MATA y es capaz de apuntar a los sistemas operativos Windows, Linux y macOS. Llamado así por la referencia de los autores a la infraestructura «MataNet», llega con una amplia gama de características diseñadas para llevar a cabo una variedad de actividades maliciosas en máquinas infectadas.
La campaña MATA habría comenzado en abril de 2018 hacia empresas (no identificadas) de desarrollo de software, comercio electrónico y sectores relacionados con los proveedores de servicios de Internet ubicados en Polonia, Alemania, Turquía, Corea, Japón e India, explica la firma de ciberseguridad Kaspersky en su análisis de situación.
El informe ofrece una visión integral del marco MATA, basado en evidencias previas recopiladas por investigadores de Netlab 360 en los últimos ocho meses. En diciembre pasado, revelaron un troyano de administración remota (RAT) completamente funcional llamado Dacls dirigido a plataformas Windows y Linux que compartían infraestructura clave con la operada por el Grupo Lazarus. Después, Malwarebytes descubrió en mayo una variante para macOS que se distribuyó a través de una aplicación de autenticación de dos factores troyanizada (2FA).
Cómo funciona MATA
En el último desarrollo, la versión de Windows de MATA consiste en una carga útil con un módulo orquestador («lsass.exe») capaz de cargar 15 complementos adicionales al mismo tiempo y ejecutarlos en la memoria. Los complementos en sí mismos son ricos en funciones, con características que permiten que el malware manipule archivos y procesos del sistema, inyecte archivos DLL y cree un servidor proxy HTTP.
Los complementos MATA también permiten a los piratas informáticos apuntar a dispositivos de red sin disco basados en Linux, como enrutadores, firewalls o dispositivos IoT, y sistemas macOS al enmascararse como una aplicación 2FA llamada TinkaOTP, que se basa en una aplicación de autenticación de dos factores de código abierto llamada MinaOTP.
Una vez que se implementan los complementos, los piratas informáticos intentan localizar las bases de datos de la empresa comprometida y ejecutan varias consultas para obtener los detalles del cliente. No está claro si tuvieron éxito en sus intentos. Los investigadores de Kaspersky dijeron que MATA se ha utilizado para distribuir el ransomware VHD a una víctima anónima.
Kaspersky dijo que vinculó MATA con el Grupo Lazarus por en el formato de nombre de archivo único que se encuentra en el orquestador («c_2910.cls» y «k_3872.cls»), que se ha visto anteriormente en varias variantes del malware Manuscrypt.
Analistas de ciberseguridad consideran que Lazarus Group (también llamado Hidden Cobra o APT38) está patrocinado por el gobierno norcoreano. El Grupo tiene un largo historial de ataques, incluido el pirateo de Sony Pictures en 2014, el pirateo bancario SWIFT en 2016 y la infección por ransomware WannaCry en 2017, la peor de la historia por las empresas afectadas.