Check Point Research ha descubierto y analizado recientemente un nuevo gusano con capacidad de propagación USB, un malware aparentemente más simple creado por Gamaredon, un conocido grupo que trabaja con el Servicio Federal de Seguridad Ruso (FSB).
También conocido como Primitive Bear, ACTINIUM y Shuckworm, Gamerdon es un actor inusual dentro del ecosistema de espionaje ruso, que tiene como objetivo casi exclusivo comprometer objetivos ucranianos.
El malware USB sigue vigente hoy en día
Según Check Point, mientras que otros equipos rusos de ciberespionaje prefieren ocultar su presencia todo lo que pueden, a Gamaredon se le conoce por sus campañas a gran escala sin dejar de centrarse en objetivos regionales. LitterDrifter, el gusano recientemente descubierto por el grupo, parece adherirse al comportamiento habitual de Gamaredon, ya que probablemente ha ido mucho más allá de sus objetivos originales.
LitterDrifter es un gusano escrito en el denostado lenguaje VBScript (VBS), con dos funcionalidades principales: propagación «automática» a través de memorias USB y escucha de órdenes remotas procedentes de los servidores de mando y control (C2) de sus creadores.
«El malware parece ser una evolución de los esfuerzos anteriores de Gamaredon con la propagación por USB», explicaron los investigadores de Check Point.
Modus operandi
LitterDrifter emplea dos módulos independientes para lograr sus objetivos. Estos módulos se ejecutan por un componente VBS orquestador que se encuentra en la biblioteca trash.dll. El gusano intenta establecer persistencia en los sistemas Windows, añadiendo nuevas tareas programadas y claves del Registro, explotando el marco de trabajo Windows Management Instrumentation (WMI) para identificar objetivos USB y crear accesos directos con nombres aleatorios.
El gusano intenta infectar un objetivo USB en cuanto la unidad flash se conecta al sistema. Tras la infección, LitterDrifter intenta ponerse en contacto con un servidor C2 oculto tras una red de direcciones IP dinámicas que suelen durar hasta 28 horas. Una vez establecida la conexión, LitterDrifter puede descargar cargas útiles adicionales, descodificarlas y finalmente ejecutarlas en el sistema infectado.
Check Point Research señaló que no se descargaron más cargas útiles durante el trabajo de análisis, lo que significa que LitterDrifter es probablemente la primera etapa de un ataque más complejo y en curso.
¿Metástasis informática?
La mayoría de las infecciones de LitterDrifter se descubrieron en Ucrania, pero el gusano también se identificó en ordenadores ubicados en EE.UU., Alemania, Vietnam, Chile y Polonia. Es probable que Gamaredon haya perdido el control de su gusano, que en última instancia se propagó a objetivos no previstos antes de que se desplegara el ataque completo.