Alertan sobre peligroso malware que se activa con tres clicks del mouse
Expertos creen que el malware, llamado Okrum, proviene de un grupo que trabaja para el gobierno de China llamado Ke3chang
De acuerdo a FayerWayer, se sospecha que el grupo opera fuera de China y reporta sus descubrimientos al gobierno de Beijing. Varias de estas sospechas se fundan en ataques anteriores a diplomáticos de Europa, Centro y Sudamérica.
Añaden que el país más atacado por el grupo es Eslovaquia. Desde el 2017 Ke3chang ha atacado en Bélgica, Croacia, la República Checa, Brasil Chile y Guatemala.
Los ataques de Ke3chang usando Okrum son selectivos, con blancos muy bien identificados. Debido a su naturaleza privada y al subterfugio, es natural pensar que se trata de una operación de espionaje internacional.
Okrum tiene un método muy inteligente para activarse y desaparecer. Todavía no está muy claro de qué manera se distribuye, pero el malware tiene un sistema de seguridad que detecta si está ejecutándose en una máquina sandbox o de investigación. De ser así, se autoelimina para evitar ser detectado y analizado.
El payload del malware solo se activa luego de presionar tres veces el botón izquierdo del mouse. La razón es simple: saber que se trata de una máquina funcional, y no una trampa. Apuntan que después de instalarse, Okrum puede entregarse a sí mismo privilegios de administrador. Luego procede a recolectar información de la maquina infectada: nombre de usuario, dirección del host IP, y que versión del sistema operativo está instalada.
El malware también es capaz de bajar y subir archivos, presuntamente para robarlos de las máquinas diplomáticas. Incluso se ha probado que Okrum puede instalar Mikimatz, un conocido keylogger y ladrón de contraseñas.
Con información de FayerWayer
