Los investigadores de Kaspersky señalaron un malware Wroba actualizado entregado por los actores de amenazas Roaming Mantis en una nueva campaña que puede explotar objetivos con secuestro de DNS.
Con el objetivo de redirigir a los usuarios a páginas de destino falsas para una mayor explotación, se ve que la campaña se expande fuera de Corea del Sur a varias naciones de Europa por primera vez en años.
Expansión de la campaña de malware
investigadores de Kaspersky detalló una nueva campaña proveniente de los actores de amenazas del grupo Roaming Mantis, donde últimamente se está distribuyendo un malware Wroba actualizado a varios países europeos.
La campaña comienza con el smishing o el envenenamiento de DNS de los enrutadores WiFi del objetivo para redirigirlo a un sitio web de phishing que lleva la carga útil real para una futura explotación. El malware patentado – Wrobase puede entregar a través de sitios web o aplicaciones falsos, dicen los investigadores.
Wroba, también conocido como MoqHao y XLoader, es un malware que puede absorber la información financiera del objetivo para los actores de amenazas y se ha utilizado anteriormente principalmente en Corea del Sur. Ahora, los investigadores notaron que los creadores de este malware se están expandiendo a varios países europeos, por primera vez desde su creación.
Han notado que este malware se propaga a través de smishing en Austria, Francia, Alemania, India, Japón, Malasia, Taiwán, Turquía y los EE. UU. en los últimos tiempos. Wroba contiene efectivamente una función de cambio de DNS que puede detectar ciertos enrutadores en función de sus números de modelo y envenenar su configuración de DNS.
Además, esta explotación no solo se limita a la víctima, sino también a otras personas con las que puede conectarse digitalmente en cualquier término. Los investigadores notaron que “Los usuarios con dispositivos Android infectados que se conectan a redes Wi-Fi gratuitas o públicas pueden propagar el malware a otros dispositivos de la red si la red Wi-Fi a la que están conectados es vulnerable”.
