Un grupo de ciberdelincuentes relacionado con Pakistán, llamado SideCopy, está utilizando una vulnerabilidad reciente en el software WinRAR para llevar a cabo ataques dirigidos contra agencias gubernamentales en la India. En estos ataques, están entregando varios tipos de software malicioso, como troyanos de acceso remoto como AllaKore RAT, Ares RAT y DRat.

Los ataques de SideCopy son multiplataforma y han afectado tanto a sistemas Linux como Windows. En el caso de Linux, utilizan un binario ELF basado en Golang que facilita la infección con Ares RAT, permitiendo a los atacantes tomar capturas de pantalla, descargar y cargar archivos, entre otras acciones.

Para Windows, explotan una vulnerabilidad de seguridad en WinRAR (CVE-2023-38831) para entregar AllaKore RAT, Ares RAT y dos nuevos troyanos llamados DRat y Key RAT. Estos troyanos tienen la capacidad de robar información, registrar teclas, tomar capturas de pantalla y realizar otras operaciones maliciosas.

La elección de dirigir ataques a sistemas Linux podría estar relacionada con la decisión de la India de utilizar una versión de Linux llamada Maya OS en el ámbito gubernamental y de defensa.

En resumen, SideCopy es un grupo de ciberdelincuentes activo desde 2019 que se ha centrado en ataques dirigidos contra agencias gubernamentales en India y Afganistán, utilizando una variedad de malware y técnicas para comprometer sistemas tanto en Windows como en Linux. Además, se sospecha que tienen vínculos con APT36 y comparten recursos y métodos para sus operaciones.

fuente:thehackernews