Una campaña de ingeniería social en curso con presuntos vínculos con el grupo de ransomware Black Basta se ha vinculado a «múltiples intentos de intrusión» con el objetivo de llevar a cabo el robo de credenciales e implementar un cuentagotas de malware llamado SystemBC.
«El señuelo inicial que utilizan los actores de amenazas sigue siendo el mismo: una bomba de correo electrónico seguida de un intento de llamar a los usuarios afectados y ofrecer una solución falsa», Rapid7 dichoy agregó que «las llamadas externas generalmente se realizaban a los usuarios afectados a través de Microsoft Teams».
Luego, la cadena de ataque convence al usuario de descargar e instalar un software de acceso remoto legítimo llamado AnyDesk, que actúa como canal para implementar cargas útiles posteriores y exfiltrar datos confidenciales.
Esto incluye el uso de un ejecutable llamado «AntiSpam.exe» que pretende descargar filtros de spam de correo electrónico e insta a los usuarios a ingresar sus credenciales de Windows para completar la actualización.
El paso es seguido por la ejecución de varios binarios, archivos DLL y scripts de PowerShell, que incluyen una baliza HTTP basada en Golang que establece contacto con un servidor remoto, un proxy SOCKS y SystemBC.
Para mitigar el riesgo que plantea la amenaza, se recomienda bloquear todas las soluciones de escritorio remoto no aprobadas y estar atento a llamadas telefónicas y mensajes de texto sospechosos que pretenden provenir del personal de TI interno.
La revelación se produce cuando SocGholish (también conocido como FakeUpdates), GootLoader y Raspberry Robin han surgido como las cepas de cargadores más comúnmente observadas en 2024, que luego actúan como un trampolín para el ransomware, según datos de ReliaQuest.
«GootLoader es nuevo en la lista de los tres primeros este año, reemplazando a QakBot a medida que su actividad disminuye», dijo la empresa de ciberseguridad. dicho.
«Los cargadores de malware se anuncian con frecuencia en foros de cibercriminales de la red oscura, como XSS y Exploit, donde se comercializan a los cibercriminales que buscan facilitar las intrusiones en la red y la entrega de cargas útiles. Estos cargadores suelen ofrecerse a través de modelos de suscripción, con tarifas mensuales que otorgan acceso a actualizaciones periódicas, soporte y nuevas funciones diseñadas para evadir la detección».
Una ventaja de este enfoque basado en suscripciones es que permite que incluso los actores de amenazas con experiencia técnica limitada realicen ataques sofisticados.
También se han observado ataques de phishing que distribuyen un malware ladrón de información conocido como 0bj3ctivity Stealer a través de otro cargador llamado Ande Loader como parte de un mecanismo de distribución de varias capas.
«La distribución del malware a través de scripts ofuscados y encriptados, técnicas de inyección de memoria y la mejora continua de Ande Loader con funciones como anti-depuración y ofuscación de cadenas subrayan la necesidad de mecanismos de detección avanzados e investigación continua», dijo eSentire. dicho.
Estas campañas son solo las últimas de una serie de ataques de phishing e ingeniería social que se han descubierto en las últimas semanas, incluso cuando los actores de amenazas están cada vez más Utilizando códigos QR falsos como arma con fines maliciosos –
- Una campaña ClearFake que apalancamientos Páginas web comprometidas para difundir malware .NET con el pretexto de descargar una actualización de Google Chrome
- A campaña que utiliza sitios web falsos haciéndose pasar por HSBC, Santander, Virgin Money y Wise para entregar una copia del software de monitoreo y administración remota (RMM) de AnyDesk a usuarios de Windows y macOS, que luego se utiliza para robar datos confidenciales
- A sitio web falso («win-rar[.]co») aparentemente distribuye WinRAR que se utiliza para implementar ransomware, minero de criptomonedas y ladrón de información llamado Kematian Stealer que se encuentra alojado en GitHub
- A campaña de publicidad maliciosa en redes sociales que secuestra páginas de Facebook para promover un sitio web de edición de fotos con inteligencia artificial (IA) aparentemente legítimo a través de anuncios pagos que atraen a las víctimas para que descarguen la herramienta RMM de ITarian y la utilicen para entregar Lumma Stealer
«El hecho de que los usuarios de las redes sociales sean objeto de actividades maliciosas resalta la importancia de contar con medidas de seguridad sólidas para proteger las credenciales de las cuentas y evitar el acceso no autorizado», dijeron los investigadores de Trend Micro.