El actor de amenazas conocido como SideWinder ha añadido una nueva herramienta personalizada a su arsenal de malware que está siendo utilizada en ataques de phishing contra entidades del sector público y privado de Pakistán.
«Los enlaces de suplantación de identidad en correos electrónicos o mensajes que imitan notificaciones y servicios legítimos de organismos públicos y organizaciones de Pakistán son los principales vectores de ataque de la banda», afirma la empresa de ciberseguridad Group-IB, con sede en Singapur, en un informe publicado el miércoles.
SideWinder, también rastreado bajo los nombres de Hardcore Nationalist, Rattlesnake, Razor Tiger y T-APT-04, ha estado activo desde al menos 2012, centrándose principalmente en Pakistán y otros países de Asia Central como Afganistán, Bangladesh, Nepal, Singapur y Sri Lanka.
El mes pasado, Kaspersky atribuyó a este grupo más de 1.000 ciberataques que tuvieron lugar en los últimos dos años, al tiempo que destacó su persistencia y sus sofisticadas técnicas de ofuscación.
El modus operandi del actor de la amenaza implica el uso de correos electrónicos de spear-phishing para distribuir archivos ZIP maliciosos que contienen archivos RTF o LNK, que descargan una carga útil de aplicación HTML (HTA) desde un servidor remoto.
Esto se consigue incrustando enlaces fraudulentos que están diseñados para imitar notificaciones y servicios legítimos de agencias y organizaciones gubernamentales en Pakistán, y el grupo también establece sitios web parecidos que se hacen pasar por portales gubernamentales para recoger las credenciales de los usuarios.
La herramienta personalizada identificada por Group-IB, denominada SideWinder.AntiBot.Script, actúa como un sistema de dirección de tráfico que desvía a los usuarios pakistaníes que hacen clic en los enlaces de phishing hacia dominios falsos.
En caso de que un usuario, cuya dirección IP de cliente difiera de la de Pakistán, haga clic en el enlace, el script AntiBot redirige a un documento auténtico situado en un servidor legítimo, lo que indica un intento de geolocalizar sus objetivos.
«El script comprueba el entorno del navegador del cliente y, en función de varios parámetros, decide si emitir un archivo malicioso o redirigir a un recurso legítimo», señalan los investigadores.
Cabe destacar un enlace de phishing que descarga una aplicación VPN llamada Secure VPN («com.securedata.vpn») desde la tienda oficial de Google Play en un intento de suplantar la aplicación legítima Secure VPN («com.securevpn.securevpn»).
Aunque el propósito exacto de la falsa aplicación VPN sigue sin estar claro, no es la primera vez que SideWinder se cuela entre las protecciones de Google Play Store para publicar aplicaciones fraudulentas bajo el pretexto de software de utilidad.
En enero de 2020, Trend Micro detalló tres apps maliciosas que se disfrazaban de herramientas de fotografía y gestión de archivos que aprovechaban un fallo de seguridad en Android (CVE-2019-2215) para obtener privilegios de root, así como abusar de los permisos de servicios de accesibilidad para cosechar información sensible.