Se ha observado una nueva campaña de phishing que emplea señuelos con temas fiscales para entregar una carga útil sigilosa de puerta trasera como parte de ataques dirigidos a Pakistán.
La empresa de ciberseguridad Securonix, que está rastreando la actividad bajo el nombre FLUJO#CONSOLAdijo que probablemente comienza con un enlace o archivo adjunto de correo electrónico de phishing, aunque dijo que no pudo obtener el correo electrónico original utilizado para lanzar el ataque.
“Uno de los aspectos más notables de la campaña es cómo los actores de amenazas aprovechan los archivos MSC (Microsoft Common Console Document) para implementar un cargador y un dropper de doble propósito para entregar más cargas útiles maliciosas”, afirman los investigadores de seguridad Den Iuzvyk y Tim Peck. dicho.
Vale la pena señalar que Elastic Security Labs ha denominado en código GrimResource el abuso de archivos de consola de administración guardados (MSC) especialmente diseñados para ejecutar código malicioso.
El punto de partida es un archivo con extensiones dobles (.pdf.msc) que se hace pasar por un archivo PDF (si la configuración para mostrar extensiones de archivo está deshabilitada) y está diseñado para ejecutar un código JavaScript incrustado cuando se inicia usando Microsoft Management Console (MMC). ).
Este código, a su vez, es responsable de recuperar y mostrar un archivo señuelo, al tiempo que carga de forma encubierta un archivo DLL (“DismCore.dll”) en segundo plano. Uno de esos documentos utilizados en la campaña se llama “Reducciones de impuestos, reembolsos y créditos 2024”, que es un documento legítimo asociado con la Junta Federal de Ingresos de Pakistán (FBR).
“Además de entregar la carga útil desde una cadena incrustada y ofuscada, el archivo .MSC puede ejecutar código adicional accediendo a un archivo HTML remoto que también logra el mismo objetivo”, dijeron los investigadores, y agregaron que la persistencia se establece usando tareas programadas.
La carga útil principal es una puerta trasera capaz de establecer contacto con un servidor remoto y ejecutar comandos enviados por él para filtrar datos de los sistemas comprometidos. Securonix dijo que el ataque se interrumpió 24 horas después de la infección inicial.
“Desde el JavaScript altamente ofuscado utilizado en las etapas iniciales hasta el código de malware profundamente oculto dentro de la DLL, toda la cadena de ataque ejemplifica las complejidades de detectar y analizar el código malicioso contemporáneo”, dijeron los investigadores.
“Otro aspecto notable de esta campaña es la explotación de archivos MSC como una evolución potencial del archivo LNK clásico que ha sido popular entre los actores de amenazas en los últimos años. Al igual que los archivos LNK, también permiten la ejecución de código malicioso mientras se combinan en flujos de trabajo administrativos legítimos de Windows”.
About the Author
