Los expertos de Kaspersky han analizado AdvancedIPSpyware. Se trata de una versión de la herramienta original Advanced IP Scanner, utilizada por los administradores de red para controlar las redes de área local (LAN). La herramienta maliciosa afectó a un gran número de víctimas en América Latina, África, Europa Occidental, el sur de Asia, Australia y los países de la Comunidad de Estados Independientes (CEI).

Añadir código malicioso a un software inofensivo para ocultar su actividad dañina y engañar al usuario es una técnica muy común. Lo que no es tan frecuente es que el binario backdoored, vulnerabilidad de sistema operativo, página web o app que puede convertirse en entrada para hackers, crackers, o gusanos, esté debidamente firmadoAdvancedIPSpyware

Éste es el caso de AdvancedIPSpyware, que es una versión backdoored de la herramienta real Advanced IP Scanner, utilizada por los administradores de redes para controlar las LAN. El certificado con el que se firmó el malware probablemente era robado. El malware estaba alojado en dos sitios, cuyos dominios son casi idénticos a los del sitio web legítimo de Advanced IP Scanner, diferenciándose sólo por una letra. Además, las webs tienen el mismo aspecto. La única diferencia es el botón de «descarga gratuita» en los sitios web maliciosos.

Otra característica poco común de AdvancedIPSpyware es que su arquitectura es modular. Normalmente, la arquitectura modular se ve en el malware financiado por algún Estado, no en el de criminales. Sin embargo, en este caso los ataques no fueron dirigidos, lo que lleva a la conclusión de que AdvancedIPSpyware no procede de ninguna campaña política.

AdvancedIPSpyware tiene una amplia victimología con usuarios afectados en América Latina, África, Europa Occidental, el sur de Asia, Australia y los países de la CEI. El número total de víctimas infectadas a través de la campaña es de unas 80.

Además de AdvancedIPSpyware, el informe sobre crimeware publicado en Securelist incluye las siguientes conclusiones:

• BlackBasta, un grupo de ransomware descubierto a principios de julio de 2022, añadió una funcionalidad que dificulta el análisis forense y la detección, ya que el malware puede propagarse a través de la propia red.
• Los analistas han observado nuevas características de CLoader, un ladrón descubierto por primera vez en abril de 2022. Utilizaba juegos y software crackeados como cebo para engañar a los usuarios y hacer que instalaran el malware. Los archivos descargados eran instaladores NSIS, que contenían código malicioso en el script de instalación.
• En agosto de 2022, se descubrió una campaña que ha estado activa al menos desde enero de ese año y que se centra en personas de habla china. En un popular canal de YouTube en chino, centrado en el anonimato en Internet, se subió un vídeo en el que se daban instrucciones sobre cómo instalar el navegador Tor. Esto en sí no es tan extraño, ya que el navegador Tor está bloqueado en China. Sin embargo, si un usuario hace clic en el enlace de la descripción, en lugar del navegador Tor auténtico, se descarga una versión infectada.AdvancedIPSpyware

«El correo electrónico es el método de infección más común utilizado tanto por los ciberdelincuentes como por los Estados. Esta vez echamos un vistazo a las técnicas menos comunes empleadas por los ciberdelincuentes, tanto las más conocidas como las que han pasado desapercibidas. En concreto, el AdvancedIPSpyware destaca por su inusual arquitectura, el uso de una herramienta legítima y una copia casi idéntica del sitio web legítimo», comenta Jornt van der Wiel, experto en seguridad de Kaspersky.