Torisma, el spyware utilizado por ciberdelincuentes norcoreanos

Un reciente estudio llevado a cabo por los investigadores de McAfee Christiaan Beek y Ryan Sherstobitoff desvela un hasta ahora desconocido spyware empleado en los pasados ataques de julio contra la industria aeroespacial y de defensa, bajo el nombre de «Operation North Star«.

En la pasada campaña de julio, el equipo de McAfee descubrió una serie de archivos infectados con malware que contenían ofertas de trabajo de los principales contratistas de defensa y de la industria aeroespacial de Rusia e India. Uno de los propósitos de dicho malware era la recopilación de datos sensibles de la máquina de la victima, para una posterior clasificación de dichos datos en función de su valor.

Ahora, gracias el hallazgo de los investigadores, se ha descubierto que los atacantes tambíen instalaban un spyware denominado «Torisma» para el continuo monitoreo de la actividad de la víctima.

Diagrama de flujo del ataque

Los atacantes alojaron los servidores de comando y control (C2) en sitios web legítimos de EE.UU e Italia, lo que les permitió eludir las medidas de seguridad de las organizaciones, ya que no suelen bloquear webs confiables.

El implante de primera etapa se encargaría de monitorizar continuamente los datos de la máquina de la víctima: (IP, fecha, User-Agent…), y no sería hasta un posterior análisis de dichos datos, cuando se tomaría la decisión de infectar a la víctima con el spyware «Torisma» para un posterior seguimiento con mayor profundidad, como ejecuciones de shellcode personalizado y monitorización de conexiones de escritorio remoto.

to en Fuente>