Se ha descubierto que una campaña de malware recientemente descubierta se dirige a usuarios privados, minoristas y empresas de servicios ubicados principalmente en Rusia para ofrecer NetSupport RAT y BurnsRAT.
La campaña, denominada Cuernos y pezuñas de Kaspersky, ha afectado a más de 1.000 víctimas desde que comenzó alrededor de marzo de 2023. El objetivo final de estos ataques es aprovechar el acceso que ofrecen estos troyanos para instalar malware ladrón como Rhadamanthys y Meduza.
“En los últimos meses se ha producido un aumento en el envío de correos electrónicos con archivos adjuntos similares en forma de un archivo ZIP que contiene scripts JScript”, afirma el investigador de seguridad Artem Ushkov. dicho en un análisis del lunes. “Los archivos de script [are] disfrazados de solicitudes y ofertas de clientes o socios potenciales”.
Los actores de amenazas detrás de las operaciones han demostrado su desarrollo activo de la carga útil de JavaScript, realizando cambios significativos durante el transcurso de la campaña.
En algunos casos, se ha descubierto que el archivo ZIP contiene otros documentos relacionados con la organización o la persona suplantada para aumentar la probabilidad de éxito del ataque de phishing y engañar a los destinatarios para que abran el archivo con malware.
Una de las primeras muestras identificadas como parte de la campaña es un archivo de aplicación HTML (HTA) que, cuando se ejecuta, descarga una imagen PNG señuelo desde un servidor remoto utilizando la utilidad curl para Windows, al mismo tiempo que recupera y ejecuta sigilosamente otro script (” bat_install.bat”) desde un servidor diferente usando el Administrador de BITS herramienta de línea de comandos.
El script recién descargado procede a buscar utilizando BITSAdmin varios otros archivos, incluido el malware NetSupport RAT, que establece contacto con un servidor de comando y control (C2) configurado por los atacantes.
Una iteración posterior de la campaña observada a mediados de mayo de 2023 involucró el JavaScript intermedio que imitaba bibliotecas de JavaScript legítimas como Next.js para activar la cadena de infección NetSupport RAT.
Kaspersky dijo que también encontró otra variante del archivo JavaScript que eliminaba un instalador NSIS que luego es responsable de implementar BurnsRAT en el host comprometido.
“Aunque la puerta trasera admite comandos para descargar y ejecutar archivos de forma remota, así como varios métodos para ejecutar comandos a través de la línea de comandos de Windows, la tarea principal de este componente es iniciar el sistema de manipulación remota (RMS) como servicio y enviar el ID de sesión RMS al servidor de los atacantes”, explicó Ushkov.
“RMS es una aplicación que permite a los usuarios interactuar con sistemas remotos a través de una red. Proporciona la capacidad de administrar el escritorio, ejecutar comandos, transferir archivos e intercambiar datos entre dispositivos ubicados en diferentes ubicaciones geográficas”.
En una señal de que los actores de amenazas continuaron modificando su modus operandi, otras dos secuencias de ataque detectadas a fines de mayo y junio de 2023 vinieron con un archivo BAT completamente reelaborado para instalar NetSupport RAT e incorporaron el malware directamente dentro del código JavaScript, respectivamente.
Hay indicios de que la campaña es obra de un actor de amenazas conocido como TA569 (también conocido como Gold Prelude, Mustard Tempest y Purple Vallhund), conocido por operar el malware SocGholish (también conocido como FakeUpdates). Esta conexión surge de superposiciones en la licencia RAT de NetSupport y los archivos de configuración utilizados en las respectivas actividades.
Vale la pena mencionar que también se sabe que TA569 actúa como intermediario de acceso inicial para ataques de ransomware posteriores como WastedLocker.
“Dependiendo de en qué manos caiga este acceso, las consecuencias para las empresas víctimas pueden variar desde el robo de datos hasta el cifrado y daños a los sistemas”, afirmó Ushkov. “También observamos intentos de instalar ladrones en algunas máquinas infectadas”.