Un actor de amenazas con motivación financiera conocido como UNC4990 está aprovechando los dispositivos USB armados como vector de infección inicial para atacar a organizaciones en Italia.
Mandiant, propiedad de Google, dijo que los ataques apuntan a múltiples industrias, incluidas la salud, el transporte, la construcción y la logística.
«Las operaciones UNC4990 generalmente implican una infección USB generalizada seguida por la implementación del descargador EMPTYSPACE», la compañía dicho en un informe del martes.
«Durante estas operaciones, el clúster depende de sitios web de terceros como GitHub, Vimeo y Ars Technica para alojar etapas adicionales codificadas, que descarga y decodifica a través de PowerShell en las primeras etapas de la cadena de ejecución».
Se estima que UNC4990, activo desde finales de 2020, opera fuera de Italia debido al uso extensivo de la infraestructura italiana con fines de comando y control (C2).
Actualmente no se sabe si UNC4990 funciona únicamente como facilitador de acceso inicial para otros actores. El objetivo final del actor de la amenaza tampoco está claro, aunque en un caso se dice que se implementó un minero de criptomonedas de código abierto después de meses de actividad de balizamiento.
Los detalles de la campaña fueron documentados previamente por fortaleza y Yoroi a principios de diciembre de 2023, y el primero siguió al adversario bajo el nombre de Nebula Broker.
La infección comienza cuando una víctima hace doble clic en un archivo de acceso directo LNK malicioso en un dispositivo USB extraíble, lo que lleva a la ejecución de un script de PowerShell que es responsable de descargar EMPTYSPACE (también conocido como BrokerLoader o Vetta Loader) desde un servidor remoto a través de otro script de PowerShell intermedio. alojado en Vimeo.
Yoroi dijo que identificó cuatro variantes diferentes de EMPTYSPACE escritas en Golang, .NET, Node.js y Python, que posteriormente actúa como un conducto para recuperar cargas útiles de la siguiente etapa a través de HTTP desde el servidor C2, incluida una puerta trasera denominada QUIETBOARD.
Un aspecto notable de esta fase es el uso de sitios populares como Ars Technica, GitHub, GitLab y Vimeo para alojar la carga maliciosa.
«El contenido alojado en estos servicios no representaba ningún riesgo directo para los usuarios cotidianos de estos servicios, ya que el contenido alojado de forma aislada era completamente benigno», dijeron los investigadores de Mandiant. «Cualquiera que haya hecho clic o visto este contenido sin darse cuenta en el pasado no corría riesgo de verse comprometido».
QUIETBOARD, por otro lado, es una puerta trasera basada en Python con una amplia gama de características que le permiten ejecutar comandos arbitrarios, alterar direcciones de billeteras criptográficas copiadas al portapapeles para redirigir transferencias de fondos a billeteras bajo su control y propagar el malware a unidades extraíbles. , tomar capturas de pantalla y recopilar información del sistema.
Además, la puerta trasera es capaz de expandirse modularmente y ejecutar módulos Python independientes, como mineros de monedas, además de recuperar y ejecutar dinámicamente código Python desde el servidor C2.
«El análisis de EMPTYSPACE y QUIETBOARD sugiere cómo los actores de amenazas adoptaron un enfoque modular al desarrollar su conjunto de herramientas», dijo Mandiant.
«El uso de múltiples lenguajes de programación para crear diferentes versiones del descargador EMPTYSPACE y el cambio de URL cuando se eliminó el video de Vimeo muestran una predisposición a la experimentación y la adaptabilidad por parte de los actores de amenazas».