El equipo de investigación Unit42 de Palo Alto descubrió recientemente que el grupo de piratería AridViper (también conocido como APT-C-23) lanza un nuevo malware para atacar a las víctimas en la región del Medio Oriente. Esto se descubrió mientras se investigaba el malware Micropsia de AridViper.
¿Qué sabemos del nuevo malware?
- El nuevo malware basado en Python recientemente desarrollado, llamado PyMicropsia, tiene varias capacidades de control y robo de información, como registro de teclas, descarga y ejecución de cargas útiles, robo de credenciales del navegador, borrado del historial y perfiles de navegación, reinicio de máquinas, recopilación de procesos de Outlook y muchos más.
- El troyano contiene bibliotecas Python integradas y paquetes específicos que incluyen PyAudio y mss para múltiples propósitos, incluido el robo de información, la interacción con los procesos de Windows, las redes, el sistema de archivos, el registro de Windows, etc.
- Es probable que el malware esté en desarrollo activo ya que varias de sus secciones de código se encontraron sin usar, lo que indica que lo está.
Perspectivas del código
- Sus variables de código contenían referencias a múltiples nombres de actores famosos de Hollywood, incluidos Fran Drescher y Keanu Reeves.
- Sus fragmentos de código también comprueban otros sistemas operativos como Posix o Darwin.
- Además de la superposición de código, PyMicropsia y Micropsia comparten estructuras de ruta URI de comunicación C2 similares y TTP similares, según el informe.
Actividad reciente de AridViper
- En septiembre, se descubrió que el grupo de piratería AridViper usaba una variante de software espía de Android llamada Android/SpyC32.A para espiar a los usuarios de WhatsApp y Telegram.
- En septiembre, el equipo de Cybereason Nocturnus notó que el grupo Evilnum estaba utilizando un troyano de acceso remoto con script de Python (RAT), denominado PyVil RAT para apuntar a diferentes empresas en el Reino Unido y la UE.
Conclusión
En la actualidad, varios grupos de ataque dependen del malware basado en Python en sus ciberataques. El grupo AridViper está ampliando su arsenal de piratería. El uso de malware basado en Python y fragmentos de código en desarrollo podría proporcionarles capacidades de persistencia mejoradas. La incorporación de los nuevos sistemas operativos Posix y Darwin podría convertirlo en una seria amenaza.