Alerta por Speagle: Malware Utiliza Cobra DocGuard para Robar Datos
Publicado el
Introducción
El malware Speagle ha sido identificado como una nueva amenaza que secuestra la funcionalidad del software legítimo Cobra DocGuard para robar información sensible. Este programa, desarrollado por EsafeNet, se ha visto comprometido por atacantes que utilizan sus servidores para ocultar el robo de datos, haciéndolo parecer como una comunicación legítima entre cliente y servidor.
Funcionamiento
Según un informe de investigadores de Symantec y Carbon Black, Speagle está diseñado para recolectar información de los equipos infectados y enviarla a un servidor de Cobra DocGuard que ha sido comprometido. Este tipo de actividad se ha documentado en incidentes anteriores, como el ataque a una empresa de juegos en Hong Kong, donde se utilizó una actualización maliciosa para acceder al sistema.
Casos anteriores
En el pasado, ESET y Symantec han destacado el uso abusivo de Cobra DocGuard en ataques cibernéticos. En un caso, el grupo de amenazas Carderbee utilizó una versión trojanizada del programa para desplegar PlugX, un backdoor utilizado frecuentemente por grupos de hacking chinos. Estos incidentes han puesto de relieve la vulnerabilidad del software en entornos empresariales.
Características del malware
Lo que distingue a Speagle es su capacidad para recolectar y exfiltrar datos de sistemas que tienen instalado Cobra DocGuard. Su actividad está siendo monitoreada bajo el nombre Runningcrab, lo que sugiere un enfoque deliberado en la recopilación de inteligencia o espionaje industrial. Los investigadores consideran que el autor de este malware podría ser un actor patrocinado por un estado o un contratista privado.
Método de entrega
El método exacto de entrega de Speagle a las víctimas aún no se ha determinado, aunque se sospecha que podría haberse realizado a través de un ataque a la cadena de suministro, como se observó en los casos documentados. Además, el malware utiliza la infraestructura del software de seguridad para ocultar su tráfico de exfiltración, lo que complica su detección.
Proceso de infección
Una vez ejecutado, el executable de 32 bits de Speagle verifica la carpeta de instalación de Cobra DocGuard y comienza a recolectar datos del sistema infectado. Este proceso incluye la recopilación de detalles sobre el sistema y archivos que contienen información sensible, como el historial de navegadores y datos de autocompletado. Además, una variante de Speagle puede activar o desactivar ciertos tipos de recolección de datos y buscar archivos relacionados con misiles balísticos chinos, como el Dongfeng-27 (DF-27).
Conclusiones
Speagle representa una amenaza innovadora que se camufla inteligentemente como parte de Cobra DocGuard para ocultar su actividad maliciosa. Los investigadores sugieren que su desarrollo podría haber sido influenciado por ataques anteriores, eligiendo este software por su vulnerabilidad y su alta tasa de uso entre las organizaciones objetivo. La detección y prevención de este tipo de malware es crucial para las entidades que utilizan Cobra DocGuard y otros software de seguridad similares.