Una campaña en curso denominada Bogle de la tierra está aprovechando señuelos con temas geopolíticos para entregar el troyano de acceso remoto NjRAT a las víctimas en todo el Medio Oriente y África del Norte.
“El actor de amenazas utiliza servicios de almacenamiento en la nube pública, como archivos[.]fm y failiem[.]lv para alojar malware, mientras que los servidores web comprometidos distribuyen NjRAT”, Trend Micro dicho en un informe publicado el miércoles.
Los correos electrónicos de phishing, generalmente adaptados a los intereses de la víctima, se cargan con archivos adjuntos maliciosos para activar la rutina de infección. Esto toma la forma de un archivo de almacenamiento de Microsoft Cabinet (CAB) que contiene un cuentagotas de Visual Basic Script para implementar la carga útil de la siguiente etapa.
Alternativamente, se sospecha que los archivos se distribuyen a través de plataformas de redes sociales como Facebook y Discord, y en algunos casos incluso se crean cuentas falsas para publicar anuncios en páginas que se hacen pasar por medios de comunicación legítimos.
Los archivos CAB, alojados en servicios de almacenamiento en la nube, también se hacen pasar por llamadas de voz confidenciales para atraer a la víctima a abrir el archivo, solo para que se ejecute el VBScript, lo que conduce a la recuperación de otro archivo VBScript que se enmascara como un archivo de imagen.
El VBScript de segunda etapa, por su parte, obtiene de un dominio ya violado un script de PowerShell que es responsable de cargar la carga útil de RAT en la memoria y ejecutarla.
NjRAT (también conocido como Bladabindi), descubierto por primera vez en 2013, tiene innumerables capacidades que permiten al actor de amenazas recolectar información confidencial y obtener control sobre las computadoras comprometidas.
“Este caso demuestra que los actores de amenazas aprovecharán el almacenamiento en la nube pública como servidores de archivos de malware, combinados con técnicas de ingeniería social que apelan a los sentimientos de las personas, como los temas geopolíticos regionales como señuelos, para infectar a las poblaciones objetivo”, concluyeron los investigadores.