El grupo de hacking patrocinado por el estado norcoreano, conocido como ScarCruft (o APT37), ha sido detectado utilizando mensajes de spear-phishing que simulan ser notificaciones de seguridad de cuentas de Microsoft. El objetivo de esta campaña es distribuir un nuevo malware avanzado llamado NarwhalRAT, diseñado específicamente para el robo de información.
El ataque se inicia con un correo electrónico que imita una alerta de seguridad de Microsoft, advirtiendo sobre una supuesta “actividad anormal” relacionada con la generación repetida de contraseñas de un solo uso (OTP). El mensaje está diseñado para crear una sensación de urgencia, instando al destinatario a revisar un “aviso adjunto”. Sin embargo, el archivo adjunto no es un documento legítimo, sino un archivo ZIP que contiene un archivo LNK malicioso.
Una vez ejecutado, el archivo LNK inicia una compleja cadena de infección multifásica. Esta cadena utiliza scripts por lotes intermedios para descargar e instalar NarwhalRAT, además de recuperar un ejecutable legítimo de Python y un archivo de catálogo de seguridad de Windows (CAT). La persistencia se logra mediante una tarea programada que lanza el archivo CAT, el cual es responsable de buscar y ejecutar el payload principal directamente en memoria, sin dejar artefactos detectables en el disco.
NarwhalRAT es un troyano de acceso remoto (RAT) basado en Python con capacidades extensas para el espionaje y la exfiltración de datos. Puede registrar pulsaciones de teclas, capturar pantallas de alta resolución, grabar audio ambiental, cargar contenidos de directorios, recopilar detalles de ventanas activas y datos de medios USB, así como ejecutar instrucciones emitidas por un servidor de comando y control (C2). Además, utiliza un directorio oculto para almacenar la información recolectada, intentando evadir la detección al simular ser el navegador “Naver Whale”, y emplea la API de pCloud como un canal C2 secundario, lo que dificulta significativamente su rastreo.
Para mitigar este tipo de ataques, es fundamental implementar una estrategia de seguridad por capas y una formación continua para los usuarios. Las organizaciones deben fortalecer la protección de su correo electrónico para filtrar mensajes de phishing y, a su vez, educar a los empleados sobre cómo identificar correos sospechosos y evitar la apertura de adjuntos inesperados, incluso si parecen provenir de fuentes legítimas. Es crucial no confiar en alertas de seguridad no solicitadas y verificar siempre la autenticidad a través de canales oficiales.
Qué significa para tu empresa: Este incidente subraya la importancia crítica de contar con una protección del correo robusta que detecte y bloquee este tipo de ataques de spear-phishing antes de que lleguen a los usuarios. Adicionalmente, una protección de endpoints EDR/XDR es esencial para identificar y neutralizar las fases iniciales de la infección, como la ejecución de archivos LNK maliciosos y la actividad del RAT, minimizando el riesgo de un compromiso exitoso de los sistemas.
Fuente original: The Hacker News — ver artículo →