Una nueva campaña de phishing dirigida se ha centrado en una solución de autenticación de dos factores llamada Kavach eso es utilizado por los funcionarios del gobierno indio.
La firma de seguridad cibernética Securonix apodó la actividad STEPPY#KAVACHatribuyéndolo a un actor de amenazas conocido como SideCopy basado en superposiciones tácticas con ataques anteriores.
«Los archivos .LNK se utilizan para iniciar la ejecución de código que eventualmente descarga y ejecuta una carga maliciosa de C#, que funciona como un troyano de acceso remoto (RAT)», los investigadores de Securonix Den Iuzvyk, Tim Peck y Oleg Kolesnikov dijo en un nuevo informe.
Copia lateral, una tripulación de piratería Se cree que es de origen pakistaní y está activo desde al menos 2019, se dice que comparte vínculos con otro actor llamado Transparent Tribe (también conocido como APT36 o Mythic Leopard).
También se sabe que se hace pasar por cadenas de ataque aprovechadas por SideWinder, un prolífico grupo de estado-nación que selecciona de manera desproporcionada a las entidades militares con sede en Pakistán para implementar su propio conjunto de herramientas.
Dicho esto, esta no es la primera vez que Kavach surge como objetivo para el actor. En julio de 2021, Cisco Talos detalló una operación de espionaje que se llevó a cabo para robar credenciales de empleados del gobierno indio.
Desde entonces, las aplicaciones de señuelo con el tema de Kavach han sido cooptadas por Transparent Tribe en sus ataques contra la India desde principios de año.
La última secuencia de ataque observada por Securonix en las últimas semanas implica el uso de correos electrónicos de phishing para atraer a las víctimas potenciales para que abran un archivo de acceso directo (.LNK) para ejecutar una carga útil remota .HTA utilizando el mshta.exe Utilidad de Windows.
La aplicación HTML, dijo la compañía, «fue descubierta alojada en un sitio web probablemente comprometido, anidado dentro de un oscuro directorio de ‘galería’ diseñado para almacenar algunas de las imágenes del sitio».
El sitio web comprometido en cuestión es incometaxdelhi[.]org, el sitio web oficial del Departamento de Impuestos sobre la Renta de la India correspondiente a la región de Delhi. El archivo malicioso ya no está disponible en el portal.
En la siguiente fase, ejecutar el archivo .HTA conduce a la ejecución de código JavaScript ofuscado que está diseñado para mostrar un archivo de imagen de señuelo que presenta un anuncio del Ministerio de Defensa de la India hace un año en diciembre de 2021.
El código JavaScript descarga además un ejecutable desde un servidor remoto, establece la persistencia a través de las modificaciones del Registro de Windows y reinicia la máquina para iniciar automáticamente el inicio de la publicación binaria.
El archivo binario, por su parte, funciona como una puerta trasera que permite al actor de amenazas ejecutar comandos enviados desde un dominio controlado por el atacante, obtener y ejecutar cargas útiles adicionales, tomar capturas de pantalla y filtrar archivos.
El componente de exfiltración también incluye una opción para buscar específicamente un archivo de base de datos («kavach.db») creado por la aplicación Kavach en el sistema para almacenar las credenciales.
Vale la pena señalar que la cadena de infección antes mencionada fue revelado por MalwareHunterTeam en una serie de tweets el 8 de diciembre de 2022, describiendo el troyano de acceso remoto como MargulasRAT.
«Según los datos correlacionados de las muestras binarias obtenidas de la RAT utilizada por los actores de amenazas, esta campaña se ha llevado a cabo contra objetivos indios sin ser detectados durante el último año», dijeron los investigadores.