Una nueva campaña de phishing está aprovechando documentos señuelo de Microsoft Word como cebo para ofrecer una puerta trasera escrita en el lenguaje de programación Nim.
«El malware escrito en lenguajes de programación poco comunes pone a la comunidad de seguridad en desventaja, ya que la falta de familiaridad de los investigadores y los ingenieros inversos puede obstaculizar su investigación», afirman los investigadores de Netskope Ghanashyam Satpathy y Jan Michael Alcantara. dicho.
El malware basado en Nim ha sido una rareza en el panorama de amenazas, aunque eso ha ido cambiando lentamente en los últimos años a medida que los atacantes continúan desarrollando herramientas personalizadas desde cero utilizando el lenguaje o trasladando a él versiones existentes de sus nefastos programas.
Esto se ha demostrado en el caso de cargadores como NimzaLoader, Nimbda, IceXLoader, así como en el caso de familias de ransomware rastreadas con los nombres Dark Power y kanti.
La cadena de ataque documentada por Netskope comienza con un correo electrónico de phishing que contiene un documento adjunto de Word que, cuando se abre, insta al destinatario a habilitar macros para activar la implementación del malware Nim. El remitente del correo electrónico se disfraza de funcionario del gobierno nepalí.
Una vez iniciado, el implante es responsable de enumerar los procesos en ejecución para determinar la existencia de herramientas de análisis conocidas en el host infectado y finalizar rápidamente si encuentra una.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
De lo contrario, la puerta trasera establece conexiones con un servidor remoto que imita un dominio gubernamental de Nepal, incluido el Centro Nacional de Tecnología de la Información (NITC), y espera más instrucciones. Ya no se puede acceder a los servidores de comando y control (C2).
- correo[.]mofa[.]gobierno[.]organización
- nict[.]gobierno[.]organización
- mx1[.]Nepal[.]gobierno[.]organización
- DNS[.]gobierno[.]organización
«Nim es un lenguaje de programación compilado de tipo estático», dijeron los investigadores. «Aparte de su sintaxis familiar, sus funciones de compilación cruzada permiten a los atacantes escribir una variante de malware y compilarla de forma cruzada para apuntar a diferentes plataformas».
La divulgación viene como Cyble reveló una campaña de ingeniería social que aprovecha los mensajes en las plataformas de redes sociales para entregar un nuevo malware ladrón basado en Python llamado Editbot Stealer que está diseñado para recolectar y exfiltrar datos valiosos a través de un canal de Telegram controlado por un actor.
Incluso cuando los actores de amenazas están experimentando con nuevas cepas de malware, también se han observado campañas de phishing que distribuyen malware conocido como DarkGate y NetSupport RAT por correo electrónico y sitios web comprometidos con señuelos de actualizaciones falsas (también conocidos como RogueRticate), particularmente aquellos de un grupo denominado BattleRoyal.
La empresa de seguridad empresarial Proofpoint dijo que identificó al menos 20 campañas que utilizaron el malware DarkGate entre septiembre y noviembre de 2023, antes de cambiar a NetSupport RAT a principios de este mes.
Una secuencia de ataque identificada a principios de octubre de 2023 se destaca particularmente por encadenar dos sistemas de entrega de tráfico (TDS), 404 TDS y Keitaro TDS, para filtrar y redirigir a las víctimas que cumplen con sus criterios a un dominio operado por un actor que aloja una carga útil que explota CVE-2023. 36025 (puntuación CVSS: 8,8), una omisión de seguridad de alta gravedad de Windows SmartScreen que Microsoft solucionó en noviembre de 2023.
Esto implica que BattleRoyal utilizó esta vulnerabilidad como arma como un día cero un mes antes de que fuera revelada públicamente por el gigante tecnológico.
DarkGate está diseñado para robar información y descargar cargas útiles de malware adicionales, mientras que NetSupport RAT, que comenzó como una auténtica herramienta de administración remota, se ha metamorfoseado en un arma potente empuñada por actores malévolos para infiltrarse en los sistemas y establecer un control remoto sin restricciones.
«Actores de amenazas cibercriminales [are] adoptar cadenas de ataque nuevas, variadas y cada vez más creativas, incluido el uso de varias herramientas TDS, para permitir la distribución de malware», Proofpoint dicho.
«Además, el uso de correos electrónicos y actualizaciones falsas muestra al actor utilizando múltiples tipos de técnicas de ingeniería social en un intento de lograr que los usuarios instalen la carga útil final».
DarkGate también ha sido utilizado por otros actores de amenazas como TA571 y TA577, ambos conocidos por difundir una variedad de malware, incluidos AsyncRAT, NetSupport, IcedID, PikaBot y QakBot (también conocido como Qbot).
«TA577, por ejemplo, uno de los distribuidores de Qbot más destacados, volvió a enviar datos de amenazas por correo electrónico en septiembre para entregar el malware DarkGate y desde entonces se le ha observado entregando PikaBot en campañas que normalmente tienen decenas de miles de mensajes», dijo Selena Larson, analista senior de inteligencia de amenazas. en Proofpoint, dijo a The Hacker News.