PoetRAT intenta irrumpir en sistemas SCADA de Azerbaiyán explotando el interés por el Coronavirus

Una nueva campaña de malware está tratando de utilizar la crisis por la pandemia mundial del Coronavirus para abrirse paso hacia los sistemas de sectores gubernamentales y energéticos de Azerbaiyán. Los atacantes están aprovechando el interés por este tema para propagar una nueva amenaza: El Troyano de Acceso Remoto (RAT) PoetRAT, que busca robar información de infraestructuras críticas del país.

El programa ataca al sistema de Supervisión, Control y Adquisición de Datos (SCADA) que se utiliza para gestionar las redes de energía y sistemas industriales. En esta campaña, se dirigieron los ataques hacia los sistemas SCADA relacionados con las turbinas de viento del sector de energía renovable.

Los atacantes utilizan documentos de Word como medio de infección. Es probable que engañen a funcionarios que tienen acceso a los sistemas para que abran un documento de Word malicioso que ejecuta un macro que extrae el malware y lo activa. Los documentos están disponibles para su descarga en una URL simple, por lo que los investigadores sospechan que se engañó a los internautas para que los descarguen de las URLs maliciosas o desde los archivos adjuntos de correos fraudulentos.

Investigadores de Cisco Talos descubrieron el ataque en febrero, y desde entonces se han visto tres oleadas de ataques. En algunas, los cibercriminales distribuían la amenaza haciéndola pasar por documentos de agencias gubernamentales de Azerbaiyán y del Ministerio de Defensa de India. Más adelante, los ataques incorporaban una alusión al virus COVID-19 en el nombre de sus archivos para atraer la atención de sus víctimas potenciales.

El programa está escrito en Python y compuesto por dos scripts principales: el primero, “frown.py” se utiliza para comunicarse con el servidor de comando y control del programa. El segundo, “smile.py”, ejecuta otros comandos, como listar los directorios, filtrar la información de la PC, tomar capturas de pantalla, terminar procesos, encender cámaras web, etc.

“El actor buscaba directorios específicos, lo que indica que quería filtrar información puntual sobre las víctimas”, dijeron los expertos. “Según nuestras investigaciones, es posible que grupos rivales hayan querido conseguir credenciales importantes de oficiales del gobierno de Azerbaiyán. El atacante no sólo quería información específica de las víctimas, buscaba un caché completo de información sobre su víctima”.

“Creemos que los criminales, en este caso, quieren atacar a los ciudadanos de Azerbaiyán, incluyendo a compañías privadas en el sector SCADA como los sistemas de turbinas de viento”, agregaron.

PoetRAT Trojan targets energy sector using coronavirus lures • ZDNet
COVID-Themed Lures Target SCADA Sectors With Data Stealing Malware • The Hacker News
Threat actors employed the previously-undetected PoetRAT Trojan in a Coronavirus-themed campaign aimed at government and energy sectors • Security Affairs