Los hackers están utilizando un código de un clon de Python del célebre juego de Windows, el Buscaminas, para atacar a organizaciones financieras y de seguros de Estados Unidos y Europa.
Según Bleeping Computer, el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT-NBU) y el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) rastrearon el ataque y encontraron responsable al UAC-0188.
El UAC-0188, también conocido como FromRussiaWithLove, es un hacktivista ruso. Los atacantes utilizan el código del Buscaminas para ocultar sus scripts Python que instalan el SuperOps RMM, una herramienta que les ayuda a obtener acceso a los sistemas afectados.
¿Cómo utilizan los hackers el código Buscaminas?
Los malhechores hacen uso de la técnica de phising mediante la dirección de correo electrónico [email protected].
En el correo, los destinatarios pueden encontrar un enlace a Dropbox, que conduce a un archivo .SCR de 33 MB que contiene el código del clon Python de Buscaminas y otro malicioso que descarga malware adicional de anotepad.com.
El clon Python del Buscaminas sirve de señuelo para la cadena real de 28 mb codificada en base 64, que contiene el código malicioso. Además, la función create_license_ver que contiene el código descodifica y ejecuta el malware. Este proceso oculta el código malicioso a los sistemas de seguridad, por lo que la fiesta está servida.
Cuando la función termina de descodificar, revela un archivo .ZIP que contiene el SuperOps RMM. A continuación, lo extrae y ejecuta utilizando una contraseña estática.
Los expertos advierten
Los especialistas en ciberseguridad recomiendan que si observas actividad de SuperOPS RMM en tu dispositivo, seas precavido, especialmente si tu organización no lo utiliza. Asimismo, comprueba si hay llamadas a los siguientes dominios: superops.com y superops.ai. Además, utiliza un antivirus actualizado, haz copias de seguridad de los datos importantes y cambia las contraseñas con regularidad.
En definitiva, el malware Buscaminas es una amenaza seria que no debes tratar a la ligera. CERT-UA ha detectado cinco archivos similares enviados en EE.UU. y la UE. Por tanto, se precavido, especialmente si dirige una organización financiera.