El nuevo malware 'Speagle' secuestra Cobra DocGuard para robar datos confidenciales a través de servidores comprometidos

Un malware de robo de información recientemente descubierto llamado Speagle ha surgido como una amenaza grave dirigida a organizaciones que ejecutan Cobra DocGuard, una plataforma de cifrado y seguridad de documentos desarrollada por la empresa china EsafeNet. El malware está diseñado para integrarse en su entorno anfitrión, utilizando el mismo software al que apunta como cobertura para sus operaciones de robo de datos.

Speagle no se limita a robar información genérica del sistema: busca activamente archivos vinculados a temas muy sensibles, incluidos documentos sobre misiles balísticos chinos. Los investigadores creen que los escenarios más plausibles apuntan a un actor patrocinado por el estado o a un contratista privado capacitado, una conclusión extraída del ataque deliberado del malware a los usuarios de Cobra DocGuard y su enfoque en documentos relacionados con la defensa. El malware utiliza un controlador Cobra DocGuard legítimo (el controlador FileLock) para eliminarse después de completar sus operaciones, comportamiento consistente con las actualizaciones de software troyanizadas. Cómo Speagle recopila y filtra datos robados Una vez que Speagle confirma que Cobra DocGuard está instalado verificando claves de registro de Windows específicas en la ruta del sistema Esanet CDG, comienza un proceso estructurado de recopilación de datos de múltiples fases.

Después de cada fase de recopilación, Speagle comprime los datos utilizando el algoritmo Deflate, los cifra con AES-128 en modo CBC y los transmite a través de solicitudes HTTP POST a un servidor Cobra DocGuard comprometido y codificado. La publicación El nuevo malware 'Speagle' secuestra Cobra DocGuard para robar datos confidenciales a través de servidores comprometidos apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗