LucidRook es un malware basado en Lua utilizado en campañas de phishing dirigidas para robar información de sistemas comprometidos.

¿A quiénes ataca LucidRook?

Principalmente a ONG y universidades en Taiwán mediante campañas de phishing dirigidas.

¿Cómo infecta LucidRook los sistemas?

Utiliza correos de phishing con archivos comprimidos, LNK maliciosos y ejecutables falsos para ejecutar su cadena de infección.

¿Qué información roba este malware?

Recopila datos del sistema como usuarios, procesos en ejecución y software instalado, que luego exfiltra cifrados.

¿Por qué es difícil de detectar LucidRook?

Porque utiliza un entorno Lua integrado y técnicas de ofuscación que dificultan el análisis forense y la detección.

El nuevo Malware LucidRook, creado en Lua ataca a ONGs y Universidades mediante Campañas de Phishing | Noticias Hacking y Seguridad Informática

Investigadores de Cisco Talos han identificado un nuevo malware basado en Lua denominado LucidRook, utilizado en campañas de phishing dirigidas contra organizaciones no gubernamentales y universidades de Taiwán, pero que muy pronto podría comenzar a expandirse.

El malware LucidRook está vinculado a un grupo de amenazas rastreado como UAT-10362, descrito como un actor con técnicas avanzadas y operaciones bien estructuradas.

Saber Más..

Ataques mediante phishing con archivos comprimidos

Las campañas observadas se basan en correos de phishing que incluyen archivos comprimidos protegidos con contraseña, una técnica habitual para evadir sistemas de análisis automático.

Dentro de estos archivos se han detectado diferentes cadenas de infección, diseñadas para ejecutar código malicioso de forma progresiva.

Dos vectores de infección: LNK y EXE

Los atacantes utilizan dos métodos principales:

Archivos LNK que ejecutan cadenas de infección encubiertas
Ejecutables falsos que simulan herramientas de seguridad legítimas

En algunos casos, se han usado documentos señuelo que simulan comunicaciones oficiales del gobierno de Taiwán para aumentar la credibilidad del ataque.

LucidPawn y la carga del malware principal

Durante la infección, se despliega un componente intermedio llamado LucidPawn, encargado de descifrar y ejecutar el malware principal.

Este proceso incluye el uso de ejecutables legítimos renombrados y DLLs maliciosas que permiten cargar LucidRook mediante técnicas de sideloading.

Arquitectura modular basada en Lua

Una de las características más destacadas de LucidRook es su arquitectura modular basada en un entorno de ejecución Lua integrado.

Esto permite a los atacantes:

Ejecutar payloads en bytecode Lua
Actualizar funcionalidades sin modificar el binario principal
Reducir la visibilidad forense del ataque
Mejorar la persistencia operativa

Este diseño hace que el malware sea altamente flexible y difícil de analizar.

Funciones de espionaje y exfiltración de datos

Una vez activo, LucidRook recopila información del sistema infectado, incluyendo:

Usuarios y nombres de equipo
Procesos en ejecución
Software instalado

Los datos son cifrados y almacenados en archivos protegidos antes de ser exfiltrados a servidores controlados por los atacantes mediante FTP.

Herramientas adicionales del grupo atacante

Los investigadores también han identificado una herramienta complementaria llamada LucidKnight, utilizada para tareas de reconocimiento.

En algunos casos, el grupo ha empleado servicios legítimos como Gmail para la exfiltración de datos, demostrando un alto nivel de adaptación y evasión.

Un ataque dirigido con alto nivel de sofisticación

Cisco Talos considera con confianza media que LucidRook forma parte de una campaña de intrusión dirigida, con un enfoque en espionaje más que en ataques masivos.

Sin embargo, parte del comportamiento del malware aún no ha podido ser completamente analizado debido a la falta de acceso al payload Lua descifrado.

Vistas: 1