Casper Malware Vinculado a agencia de espionaje francés

Investigadores de seguridad han descubierto una nueva campaña de ataque dirigido patrocinada por el Estado, con lazos al programa espía francés Babar, que se utilizó el año pasado contra objetivos sirios.

Casper es una “herramienta de reconocimiento bien desarrollada” con varias características diseñadas específicamente para permanecer oculto en los equipos cautivos y ser más astuto que los productos antivirus, según el analista de Eset Joan Calvet.

Ella afirmó en un blog el jueves que la empresa fue capaz de estudiar dos exploits de flash día cero dirigidas a la vulnerabilidad CVE-2014-0515 y que fue encontrado en un sitio web del Ministerio de Justicia sirio.

Estas vulnerabilidades fueron “muy probablemente”, desarrolladas por la gente detrás de Babar y otras dos piezas de malware francés relacionadas apodadas Bunny y NBOT, dijo.

Eset sabe porque todos comparten varias características, incluyendo el hecho de que se esconden las llamadas a funciones de la API “mediante el uso de un hash calculado a partir de los nombres de las funciones, en lugar de los propios nombres.”

Las diferentes piezas de malware también recuperan información acerca del Antivirus que se ejecuta en una máquina específica a través de la misma solicitud WMI, y calculan el hash SHA-256 de la primera palabra del nombre de anti-virus, Calvet afirmó.

“Casper genera delimitadores para sus solicitudes HTTP rellenando una cadena de formato específico con los resultados de las llamadas a la función API GetTickCount. El mismo código está presente en algunas muestras de NBOT”, añadió.

“Ninguno de estos signos solo es suficiente para establecer un vínculo fuerte, pero todas las características compartidas juntos nos hace valorar con alta confianza que Bunny, Babar, NBOT y Casper fueron desarrollados por la misma organización.”

Todas las personas a quien se dirigio Casper se encontraban en Siria, pero Eset no logró determinar si habían sido redirigidos desde una página legítima de la misma página web del gobierno comprometido – jpic.gov.sy – o de otra fuente, como un enlace de correo electrónico malicioso o un sitio de terceros hackeado.

Calvet ha añadido:

“Esto nos lleva a una segunda hipótesis: la página web ‘jpic.gov.sy‘ podría haber sido hackeada para servir como un área de almacenamiento. Esto tendría al menos dos ventajas para los atacantes: en primer lugar, la organización de los archivos en un servidor de Siria puede que sean más fácilmente accesibles desde Siria, un país cuya conexión con el mundo exterior a internet ha sido inestable desde el comienzo de la guerra civil … En segundo lugar , sería engañar a los esfuerzos de atribución por levantar sospechas contra el gobierno sirio “.

 Sin embargo, no hay evidencia directa en Casper mismo “para señalar con el dedo a un determinado país,” aunque está claro que sus autores pertenecían a una “poderosa organización”, concluyó Calvet.

Descubierto el mes pasado después de haber sido mencionado en documentos filtrados por Edward Snowden, Babar se piensa que es la obra de la francesa Direction Générale de la Sécurité Extérieure.

Con informacion de InfosecurityMagazine

Leave a Reply