Investigadores de ciberseguridad han alertado sobre un nuevo malware llamado Speagle que secuestra la funcionalidad y la infraestructura de un programa legítimo denominado Cobra DocGuard. "Speagle está diseñado para recolectar información sensible de computadoras infectadas de forma sigilosa y transmitirla a un servidor de Cobra DocGuard que ha sido comprometido por los atacantes, enmascarando el proceso de exfiltración de datos como comunicaciones legítimas entre cliente y servidor", señalaron investigadores de Symantec y Carbon Black en un informe publicado hoy.
Cobra DocGuard es una plataforma de seguridad y cifrado de documentos desarrollada por EsafeNet. El abuso de este software en ataques reales se ha documentado públicamente en dos ocasiones hasta la fecha. En enero de 2023, ESET documentó una intrusión donde una empresa de apuestas en Hong Kong fue comprometida en septiembre de 2022 a través de una actualización maliciosa impulsada por el software.
En agosto de ese mismo año, Symantec destacó la actividad de un nuevo clúster de amenazas denominado Carderbee, que utilizaba una versión troyanizada del programa para implementar PlugX, una puerta trasera ampliamente utilizada por grupos de hackers chinos como Mustang Panda. Los ataques se dirigieron a múltiples organizaciones en Hong Kong y otros países asiáticos.
Speagle permanece sin atribución hasta la fecha. Sin embargo, lo que hace notable al malware es que está diseñado para recopilar y exfiltrar datos únicamente de aquellos sistemas que tienen instalado el software de protección de datos Cobra DocGuard. La actividad se rastrea bajo el nombre Runningcrab. "Esto indica una focalización deliberada, posiblemente para facilitar la recolección de inteligencia o el espionaje industrial", afirmaron los equipos de caza de amenazas propiedad de Broadcom. "En la actualidad, creemos que las hipótesis más probables son que se trate del trabajo de un actor patrocinado por un estado o de un contratista privado disponible para contratar".
Se desconoce exactamente cómo se entrega el malware a las víctimas, aunque se sospecha que podría haberse realizado mediante un ataque a la cadena de suministro, como lo evidencian los dos casos mencionados anteriormente. Además, cabe destacar el papel central que juegan el software de seguridad y su infraestructura. Speagle no solo utiliza un servidor legítimo de Cobra DocGuard para el mando y control (C2) y como punto de exfiltración de datos, sino que también invoca un controlador asociado al programa para eliminarse a sí mismo del sistema comprometido.
El ejecutable .NET de 32 bits, una vez lanzado, primero verifica la carpeta de instalación de Cobra DocGuard y luego procede a recolectar y transmitir datos de la máquina infectada en fases. Esto incluye detalles sobre el sistema y archivos ubicados en carpetas específicas, como aquellas que contienen el historial del navegador web y datos de autocompletado. Además, se ha descubierto que una variante de Speagle incorpora funcionalidad adicional para activar o desactivar ciertos tipos de recolección de datos, así como buscar archivos relacionados con misiles balísticos chinos como el Dongfeng-27 (también conocido como DF-27).
"Speagle es una amenaza novedosa y parásita que utiliza inteligentemente el cliente de Cobra DocGuard para enmascarar su actividad maliciosa y su infraestructura para ocultar el tráfico de exfiltración", concluyeron los investigadores. "Su desarrollador sin duda tomó nota de los ataques previos a la cadena de suministro que utilizaban el software y puede haberlo seleccionado tanto por su vulnerabilidad percibida como por su alta tasa de uso entre las organizaciones objetivo".
