Harvester Ataca en Asia con un Malware para Linux que Usa Outlook como Centro de Control

Un grupo de hackers llamado Harvester está usando una nueva versión para Linux de su programa espía "GoGra". Este malware se está utilizando en ataques dirigidos probablemente a organizaciones en el sur de Asia. Lo más llamativo es que, para no ser detectado, GoGra utiliza la API de Microsoft Graph y cuentas de correo de Outlook como un canal secreto para recibir órdenes y enviar información robada.

Cómo funciona el ataque

Según el equipo de Symantec y Carbon Black Threat Hunter, Harvester engaña a sus víctimas mediante ingeniería social (técnicas para manipular a las personas) para que abran archivos que parecen ser documentos PDF, pero que en realidad son programas maliciosos (malware) diseñados para infectar sistemas Linux. Una vez abierto, el programa muestra un documento falso mientras instala en secreto el backdoor GoGra (un tipo de malware que permite el acceso remoto no autorizado a un sistema).

• GoGra, tanto en su versión para Windows como para Linux, utiliza la infraestructura en la nube de Microsoft.
• El malware se conecta cada dos segundos a una carpeta específica de una cuenta de Outlook, llamada "Zomato Pizza", utilizando consultas OData (un protocolo de acceso a datos).
• Busca correos electrónicos con el asunto que empiece con la palabra "Input". Si encuentra uno, descifra el contenido del mensaje (que está codificado en Base64) y lo ejecuta como comandos en la terminal usando "/bin/bash".
• Luego, envía los resultados de la ejecución de vuelta al atacante en un correo electrónico con el asunto "Output".
• Finalmente, borra el mensaje original para no dejar rastro.

A quién afecta

Aunque no se especifica qué tipo de organizaciones están siendo atacadas, la empresa de ciberseguridad encontró rastros de estos ataques en plataformas como VirusTotal, provenientes de India y Afganistán, lo que sugiere que estos países podrían ser el objetivo de esta campaña de espionaje. Se sabe que Harvester ha estado activo desde 2021, robando información de empresas de telecomunicaciones, gobiernos y el sector de tecnología en el sur de Asia.

Qué significa esto para ti

Si trabajas en una empresa, especialmente en el sur de Asia, es crucial estar atento a correos electrónicos sospechosos y evitar abrir archivos adjuntos de fuentes desconocidas. Este ataque demuestra que los hackers están constantemente buscando nuevas formas de entrar en los sistemas, incluso utilizando servicios comunes como Outlook para ocultar sus actividades. Es importante mantener el software actualizado y utilizar soluciones de seguridad que puedan detectar comportamientos anómalos en la red.