Expertos en ciberseguridad han advertido de que piratas informáticos están utilizando archivos de instalación de VPN domésticos para distribuir malware.
En concreto, los actores de amenazas introducen el malware SparkRAT, que conduce a la infección de MeshAgent en los sistemas de las víctimas. Anteriormente hacían algo parecido en otros incidentes, pero en esas ocasiones el software malicioso era Sliver C2 en lugar de SparkRAT.
SparkRAT es un troyano de acceso remoto disponible en código abierto y escrito en lenguaje Go. Tiene la capacidad de controlar el sistema infectado con ejecución de comandos, robo de información y procesos de control.
En ataques anteriores los actores de amenazas usaban droppers para la instalación de códigos maliciosos, que ahora serían reemplazados por malware de descarga e inyección. Los códigos se ofuscan para así evadir el software de detección de amenazas.
Uno para todos
Según se hace eco CybersecurityNews, a posteriori se encontró que todos los programas VPN afectados habían sido creados por el mismo desarrollador. Lo que hacían los ciberdelincuentes era falsificar el certificado del desarrollador para distribuir el malware.
Se piensa que los actores de amenazas atacaron al developer para poder facilitar la distribución de los archivos maliciosos. Este tipo de ataques llevarían produciéndose desde la primera mitad de este año.