El grupo de ciberespionaje Molerats ha estado utilizando en campañas recientes de spear-phishing malware nuevo que se basa en Dropbox, Google Drive y Facebook para la comunicación de comando y control y para almacenar datos robados.

Los piratas informáticos han estado activos desde al menos 2012 y se considera que son la división de bajo presupuesto de un grupo más grande llamado Gaza Cybergang.

Dos puertas traseras y un descargador

El actor de amenazas Molerats usó en operaciones recientes dos nuevas puertas traseras, llamadas SharpStage y DropBook, y un descargador de malware previamente indocumentado llamado MoleNet.

Diseñado para el ciberespionaje, el malware intenta evitar los esfuerzos de detección y eliminación mediante el uso de los servicios de Dropbox y Facebook para robar datos y recibir instrucciones de los operadores. Ambas puertas traseras implementan Dropbox para extraer datos robados.

El ataque comienza con un correo electrónico que atrae a figuras políticas o funcionarios gubernamentales de Oriente Medio (Territorios Palestinos, Emiratos Árabes Unidos, Egipto, Turquía) para descargar documentos maliciosos.

Uno de los atractivos de las campañas que distribuyen el nuevo malware fue un archivo PDF que hace referencia a las conversaciones recientes entre el primer ministro israelí, Benjamin Netanyahu, y Su Alteza Real Mohammed bin Salman, príncipe heredero de Arabia Saudita.

El documento mostraba solo un resumen del contenido e indicaba al destinatario que descargara archivos protegidos con contraseña almacenados en Dropbox o Google Drive para obtener la información completa.

Dos de estos archivos eran puertas traseras de SharpStage y DropBook, que llamaban al almacenamiento de Dropbox controlado por el atacante para descargar otro malware. Un tercero fue otro backdoor, Spark, también utilizado por Molerats en campañas anteriores.

Comandos sobre Facebook

Un informe técnico del equipo Nocturnus de Cybereason [PDF] señala que la puerta trasera DropBook basada en Python se distingue de otras herramientas en el arsenal de Molerats porque recibe instrucciones solo a través de cuentas falsas en Facebook y Simplenote, la aplicación para tomar notas para iOS.

Los piratas informáticos controlan la puerta trasera a través de comandos publicados en una publicación en Facebook. Utilizaron el mismo método para proporcionar el token necesario para conectarse a la cuenta de Dropbox. Simplenote actúa como una copia de seguridad en caso de que el malware no pueda recuperar el token de Facebook.

Con comandos que provienen de múltiples fuentes en un servicio legítimo, eliminar la comunicación del malware con el atacante se convierte en una tarea más difícil.

Las capacidades de DropBook incluyen verificar los programas instalados y los nombres de los archivos para el reconocimiento, ejecutar comandos de shell recibidos de Facebook o Simplenote, y obtener cargas útiles adicionales de Dropbox y ejecutarlas.

Los investigadores creen que DropBook es el trabajo del mismo desarrollador que creó JhoneRAT, una herramienta de acceso remoto escrita en Python que usa servicios legítimos (Google Drive, Twitter, ImgBB y Google Forms) para comando y control, para almacenar documentos maliciosos exfiltrar datos.

SharpStage y MoleNet

A diferencia de DropBook, la puerta trasera de SharpStage está escrita en .NET y depende de un servidor de comando y control (C2) tradicional. Cybereason descubrió tres variantes de este malware, con marcas de tiempo de compilación entre el 4 de octubre y el 29 de noviembre. Todas están en constante desarrollo.

Todas las variantes comparten funcionalidades similares, incluida la toma de capturas de pantalla, la ejecución de comandos arbitrarios (para ejecutar PowerShell, la línea de comandos, WMI) y descomprimir los datos recibidos del C2 (carga útil, módulo de persistencia). SharpStage también viene con una API de Dropbox para la descarga y exfiltración de datos.

Ambas puertas traseras apuntan a usuarios de habla árabe. Usan código que verifica si la máquina comprometida tiene instalado el idioma árabe. De esta manera, el atacante evita los sistemas que pertenecen a personas no relevantes, así como la mayoría de los entornos sandbox, señalan los investigadores de Cybereason.

MoleNet, el tercer malware que descubrió Cybereason, puede ejecutar comandos WMI para perfilar el sistema operativo, verificar si hay depuradores, reiniciar la máquina desde la línea de comandos, cargar detalles sobre el sistema operativo, obtener nuevas cargas útiles y crear persistencia.

Si bien los investigadores lo encontraron recientemente, MoleNet ha estado en desarrollo desde al menos 2019 y se basa en la infraestructura que ha estado en uso desde al menos 2017. Sin embargo, pasó desapercibido.

Incluso si escatiman en recursos utilizando servicios gratuitos para sus operaciones, Molerats demuestra que puede crear nuevo malware para operaciones sigilosas.

Cybereason proporciona detalles completos sobre las nuevas herramientas aprovechadas por Molerats en campañas recientes, que cubren la cadena de ataque, la infraestructura y las conexiones con otro malware que el grupo de amenazas utilizó en el pasado.