BabyShark: Software malicioso apunta a los think tanks de seguridad nacional de EE. UU.

Una campaña de ciber espionaje está dirigida a grupos de expertos de seguridad e instituciones académicas de Estados Unidos. Analistas lo consideran como una operación de recopilación de inteligencia por parte de un grupo de »hackers» que trabaja en Corea del Norte.

Una serie de ataques de phishing  con archivos adjuntos maliciosos intentan entregar una nueva familia de malware, que los investigadores de Palo Alto Networks han identificado y bautizado como BabyShark. La campaña comenzó en noviembre y se mantuvo activa al menos en el nuevo año.

Entre los objetivos identificados por los investigadores se encuentran una universidad estadounidense que planea una conferencia sobre la desnuclearización de Corea del Norte y un instituto de investigación que actúa como un grupo de expertos sobre seguridad nacional.

Esta campaña de Phishing en específico está diseñada para que los mails parezcan enviados por un experto en seguridad que trabaja como consultor de seguridad nacional en todo Estados Unidos, e incluye temas que hacen referencia a problemas nucleares de Corea del Norte, así como temas de seguridad más amplios.

Si bien gran parte del contenido utilizado en los correos electrónicos de señuelo está disponible públicamente en Internet, como el calendario de una conferencia real, los atacantes también usan contenido que no parece ser público. Esto sugiere la posibilidad de que la campaña ya haya comprometido a una víctima con el acceso a documentos privados en un think tank como parte de la campaña.

Al igual que muchos ataques de phishing, la campaña alienta a los usuarios a habilitar macros, permitiendo que el malware BabyShark basado en scripts de Visual Basic (VB) de Microsoft inicie de forma remota la actividad en las PC con Windows.

Al comunicarse con un servidor de comando y control, BabyShark obtiene una clave de registro necesaria para mantener el acceso de persistencia en la red y recuperar comandos de sus operadores.

Como parte de una campaña de recolección de inteligencia, el objetivo del malware es monitorear el sistema infectado y recopilar datos.

El análisis de BabyShark revela conexiones con otras supuestas campañas de piratería norcoreanas Stolen Pencil y KimJongRAT. BabyShark está firmado con el mismo certificado de firma de código robado utilizado en la campaña del lápiz robado, y las dos formas de malware son las únicas dos que se sabe que lo usan.