Redazione RHC : 31 agosto 2025 10:04
Un ataque de malware insidioso, conocido como «Sindoor Dropper», ataca sistemas operativos Linux mediante sofisticados métodos de phishing selectivo y un complejo proceso de infección de varias etapas. Esta operación, conocida como Operación Sindoor, se dirige a los usuarios con señuelos relacionados con el reciente conflicto entre Pakistán y la India para engañarlos y que activen archivos maliciosos.
La campaña Sindoor Dropper destaca una evolución en las técnicas de ataque de los cibercriminales, demostrando un claro enfoque en los entornos Linux, que son menos vulnerables a las campañas de phishing.
El ataque comienza cuando un usuario abre un archivo .desktop malicioso, llamado «Note_Warfare_Ops_Sindoor.pdf.desktop», que se hace pasar por un documento PDF normal. Según el análisis del sistema Nextron, una vez ejecutado, abre un PDF señuelo benigno para mantener la ilusión de legitimidad, a la vez que inicia silenciosamente un proceso de infección complejo y altamente ofuscado en segundo plano.
El archivo .desktop, Nextron informa, descarga varios componentes, incluyendo un descifrador AES (mayuw) y un descargador cifrado (shjdfhd). Una característica peculiar de esta actividad es el uso de archivos de escritorio transformados en herramientas ofensivas, una técnica previamente atribuida al grupo APT36, también conocido como Transparent. Tribe o Mythic Leopard se especializa en amenazas avanzadas y persistentes.
El proceso en cuestión fue diseñado para evadir el análisis estático y dinámico. En el momento de su descubrimiento, la carga útil inicial no había dejado rastro en VirusTotal, por lo que permaneció sin detectar. El descifrador, un binario de Go comprimido con UPX, se corrompe intencionalmente eliminando sus bytes mágicos ELF, presumiblemente para eludir los análisis de seguridad en plataformas como Google Docs. El archivo .desktopfile restaura estos bytes en el equipo de la víctima para que el binario vuelva a ser ejecutable.
Esto inicia un proceso de varias etapas en el que cada componente descifra y ejecuta el siguiente. La cadena incluye comprobaciones básicas contra máquinas virtuales, como la verificación de nombres y proveedores de adaptadores, la inclusión en listas negras de prefijos de direcciones MAC específicos y la monitorización del tiempo de actividad de la máquina.
La carga útil final es una versión reutilizada de MeshAgent, una herramienta legítima de administración remota de código abierto. Una vez implementado, MeshAgent se conecta a un servidor de comando y control (C2) alojado en una instancia EC2 de Amazon Web Services (AWS) en wss://boss-servers.gov.in.indianbosssystems.ddns[.]net:443/agent.ashx.
Esto le otorga al atacante acceso remoto completo al sistema comprometido, lo que le permite monitorear la actividad del usuario, moverse lateralmente por la red y extraer datos confidenciales, según Nextron.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
