Investigadores de ciberseguridad han descubierto una nueva variante de un malware conocido como LOTUSLITE que se distribuye mediante un tema relacionado con el sector bancario de India.
La puerta trasera se comunica con un servidor de comando y control basado en DNS dinámico a través de HTTPS y admite acceso remoto a shell, operaciones de archivos y gestión de sesiones, lo que indica capacidades centradas en espionaje en lugar de motivaciones financieras, dijeron los investigadores de Acronis Subhajeet Singha y Santiago Pontiroli en un análisis.
El uso de LOTUSLITE se observó previamente en ataques de spear-phishing dirigidos a entidades gubernamentales y políticas de EE.UU. utilizando señuelos relacionados con desarrollos geopolíticos entre EE.UU. y Venezuela. La actividad se atribuyó con confianza media a un grupo de estado-nación chino rastreado como Mustang Panda.
La última actividad señalada por Acronis implica la implementación de una versión evolucionada de LOTUSLITE que demuestra 'mejoras incrementales' sobre su predecesor, lo que indica que el malware está siendo mantenido y refinado activamente por sus operadores.
La desviación de la ola de ataques anterior se relaciona con un giro geográfico que se centra principalmente en el sector bancario de India, mientras que mantiene el resto del manual operativo prácticamente intacto. El punto de partida del ataque es un archivo Compiled HTML (CHM) que incrusta las cargas maliciosas (un ejecutable legítimo y un DLL malicioso), junto con una página HTML que contiene una ventana emergente que solicita al usuario hacer clic en 'Sí'.
Este paso está diseñado para recuperar y ejecutar silenciosamente un malware JavaScript desde un servidor remoto ('cosmosmusic[.]com'), cuya responsabilidad principal es extraer y ejecutar el malware contenido en el archivo CHM mediante DLL side-loading. El DLL ('dnx.onecore.dll') es una versión actualizada de LOTUSLITE que se comunica con el dominio 'editor.gleeze[.]com' para recibir comandos y exfiltrar datos de interés.
Un análisis adicional de la campaña ha descubierto artefactos similares diseñados para atacar entidades surcoreanas, específicamente individuos dentro de la comunidad diplomática y de políticas.
Creemos que el grupo ha estado atacando ciertas entidades pertenecientes a las comunidades diplomáticas y de políticas de Corea del Sur y EE.UU., específicamente aquellas involucradas en asuntos de la península coreana, discusiones de políticas sobre Corea del Norte y diálogos de seguridad del Indo-Pacífico, dijo Acronis.
Lo que destaca es la ampliación del objetivo del grupo, desde entidades gubernamentales de EE.UU. con señuelos geopolíticos, hasta el sector bancario de India a través de implantaciones con referencias al HDFC Bank y ventanas emergentes que se hacen pasar por software bancario legítimo, y ahora a círculos políticos de Corea del Sur y EE.UU. mediante la suplantación de una figura prominente en la diplomacia de la península coreana, entregada a través de cuentas de Gmail falsificadas y alojamiento en Google Drive.
