Una campaña de publicidad maliciosa está aprovechando instaladores troyanizados de software popular como Google Chrome y Microsoft Teams para colocar una puerta trasera llamada Oyster (también conocida como Broomstick y CleanUpLoader).
Eso es según recomendaciones de Rapid7, que identificó sitios web similares que albergan cargas útiles maliciosas a las que se redirige a los usuarios después de buscarlas en motores de búsqueda como Google y Bing.
Los actores de amenazas están atrayendo a usuarios desprevenidos a sitios web falsos que pretenden contener software legítimo. Pero al intentar descargar el binario de instalación se inicia una cadena de infección de malware.
Específicamente, el ejecutable sirve como vía para una puerta trasera llamada Oyster, que es capaz de recopilar información sobre el host comprometido, comunicarse con una dirección de comando y control (C2) codificada y admitir la ejecución remota de código.
Si bien se ha observado en el pasado que Oyster se entrega mediante un componente de carga dedicado conocido como Broomstick Loader (también conocido como Oyster Installer), las últimas cadenas de ataques implican el despliegue directo de la puerta trasera. Se dice que el malware está asociado con ITG23un grupo vinculado a Rusia detrás del malware TrickBot.
A la ejecución del malware le sigue la instalación del software legítimo Microsoft Teams en un intento de mantener la artimaña y evitar generar señales de alerta. Rapid7 dijo que también observó que el malware se utilizaba para generar un script de PowerShell responsable de configurar la persistencia en el sistema.
La divulgación se produce cuando se ha atribuido a un grupo de delitos cibernéticos conocido como Rogue Raticate (también conocido como RATicate) estar detrás de una campaña de phishing por correo electrónico que emplea señuelos PDF para atraer a los usuarios a hacer clic en una URL maliciosa y entregar NetSupport RAT.
“Si se logra engañar a un usuario para que haga clic en la URL, será conducido a través de un sistema de distribución de tráfico (TDS) al resto de la cadena y, al final, tendrá implementada la herramienta de acceso remoto de NetSupport en su máquina”, Symantec dicho.
También coincide con el surgimiento de una nueva plataforma de phishing como servicio (PhaaS) llamada ONNX Store que permite a los clientes organizar campañas de phishing utilizando códigos QR integrados en archivos PDF adjuntos que llevan a las víctimas a páginas de recolección de credenciales.
Se cree que ONNX Store, que también ofrece alojamiento Bulletproof y servicios RDP a través de un bot de Telegram, es una versión renombrada del kit de phishing Caffeine, que fue documentado por primera vez por Mandiant, propiedad de Google, en octubre de 2022, con el servicio mantenido por un árabe. actor de amenazas parlante llamado MRxC0DER.
Además de utilizar los mecanismos anti-bot de Cloudflare para evadir la detección por parte de los escáneres de sitios web de phishing, las URL distribuidas a través de campañas de quishing vienen integrados con JavaScript cifrado que se decodifica durante la carga de la página para recopilar metadatos de red de las víctimas y transmitir tokens 2FA.
“ONNX Store tiene un mecanismo de derivación de autenticación de dos factores (2FA) que intercepta [two-factor authentication] peticiones de las víctimas”, afirma Arda Büyükkaya, investigadora de EclecticIQ dicho. “Las páginas de phishing parecen interfaces de inicio de sesión reales de Microsoft 365, engañando a los objetivos para que ingresen sus detalles de autenticación”.