Numerosas máquinas con Windows ubicadas en Corea del Sur han sido atacadas por una botnet rastreada como PseudoManuscrypt desde al menos mayo de 2021 empleando las mismas tácticas de entrega de otro malware llamado CryptBot.
«PseudoManuscrypt está disfrazado como un instalador que es similar a una forma de CryptBoty se está distribuyendo», la empresa de ciberseguridad de Corea del Sur AhnLab Security Emergency Response Center (ASEC) dijo en un informe publicado hoy.
«Su forma de archivo no solo es similar a CryptBot, sino que también se distribuye a través de sitios maliciosos expuestos en la página de búsqueda superior cuando los usuarios buscan programas ilegales relacionados con software comercial como Crack y Keygen», agregó.
Según ASEC, alrededor de 30 computadoras en el país están siendo infectadas diariamente en promedio.
PseudoManuscrypt fue documentado por primera vez por la firma rusa de ciberseguridad Kaspersky en diciembre de 2021, cuando reveló detalles de una «campaña de ataque de spyware a gran escala» que infectó a más de 35,000 computadoras en 195 países en todo el mundo.
Los objetivos de los ataques de PseudoManuscrypt, que descubrió originalmente en junio de 2021, incluyeron un número significativo de organizaciones industriales y gubernamentales, incluidas empresas en el complejo militar-industrial y laboratorios de investigación, en Rusia, India y Brasil, entre otros.
El módulo principal de carga útil está equipado con una amplia y variada funcionalidad de espionaje que proporciona a los atacantes un control prácticamente total del sistema infectado. Incluye robar detalles de conexión VPN, grabar audio con el micrófono y capturar contenido del portapapeles y datos de registro de eventos del sistema operativo.
Además, PseudoManuscrypt puede acceder a un servidor remoto de comando y control bajo el control del atacante para llevar a cabo varias actividades nefastas, como la descarga de archivos, ejecutar comandos arbitrarios, registrar pulsaciones de teclas y capturar capturas de pantalla y videos de la pantalla.
«Como este malware se disfraza como un instalador de software ilegal y se distribuye a individuos al azar a través de sitios maliciosos, los usuarios deben tener cuidado de no descargar programas relevantes», dijeron los investigadores. «Como los archivos maliciosos también pueden registrarse para el servicio y realizar comportamientos maliciosos continuos sin que el usuario lo sepa, es necesario un mantenimiento periódico de la PC».
