Los actores de amenazas están atrayendo a usuarios desprevenidos con versiones gratuitas o pirateadas de software comercial para entregar un cargador de malware llamado Hijack Loader, que luego implementa un ladrón de información conocido como Vidar Stealer.
«Los adversarios habían logrado engañar a los usuarios para que descargaran archivos protegidos con contraseña que contenían copias troyanizadas de una aplicación Cisco Webex Meetings (ptService.exe)», Ale Houspanossian, investigador de seguridad de Trellix. dicho en un análisis del lunes.
«Cuando las víctimas desprevenidas extrajeron y ejecutaron un archivo binario ‘Setup.exe’, la aplicación Cisco Webex Meetings cargó de forma encubierta un cargador de malware sigiloso, lo que llevó a la ejecución de un módulo de robo de información».
El punto de partida es un archivo RAR que contiene un nombre ejecutable «Setup.exe», pero en realidad es una copia del módulo ptService de Cisco Webex Meetings.
Lo que hace que la campaña sea notable es el uso de Técnicas de carga lateral de DLL para iniciar sigilosamente Hijack Loader (también conocido como DOILoader o IDAT Loader), que luego actúa como un conducto para soltar Vidar Stealer mediante un script AutoIt.
«El malware emplea una técnica conocida para eludir el Control de cuentas de usuario (UAC) y explotar la interfaz COM CMSTPLUA para escalar privilegios», dijo Houspanossian. «Una vez que la escalada de privilegios tuvo éxito, el malware se añadió a la lista de exclusión de Windows Defender para evadir la defensa».
La cadena de ataque, además de utilizar Vidar Stealer para desviar credenciales confidenciales de los navegadores web, aprovecha cargas útiles adicionales para implementar un minero de criptomonedas en el host comprometido.
La divulgación sigue a un aumento en las campañas ClearFake que atraen a los visitantes del sitio a ejecutar manualmente un script de PowerShell para abordar un supuesto problema con la visualización de páginas web, una técnica previamente revelada por ReliaQuest a fines del mes pasado.
El script de PowerShell sirve luego como plataforma de lanzamiento para Hijack Loader, que en última instancia entrega el malware Lumma Stealer. El ladrón también está equipado para descargar tres cargas útiles más, incluido Amadey Loader, un descargador que inicia el minero XMRig y un malware clipper para redirigir transacciones criptográficas a billeteras controladas por el atacante.
«Se observó que Amadey descargaba otras cargas útiles, por ejemplo, un malware basado en Go que se cree que es JaskaGO», dijeron los investigadores de Proofpoint Tommy Madjar, Dusty Miller y Selena Larson. dicho.
La firma de seguridad empresarial dijo que también detectó a mediados de abril de 2024 otro grupo de actividad denominado ClickFix que empleaba actualizaciones defectuosas del navegador para atraer a los visitantes de sitios comprometidos con el fin de propagar Vidar Stealer utilizando un mecanismo similar que implica copiar y ejecutar código PowerShell.
Otro actor de amenazas que ha adoptado la misma táctica de ingeniería social en sus campañas de malspam es TA571, al que se le ha observado enviando correos electrónicos con archivos adjuntos HTML que, cuando se abren, muestran un mensaje de error: «La extensión ‘Word Online’ no está instalada en su navegador». «.
El mensaje también presenta dos opciones: «Cómo solucionarlo» y «Reparación automática». Si una víctima selecciona la primera opción, se copia un comando de PowerShell codificado en Base64 al portapapeles de la computadora seguido de instrucciones para iniciar una terminal de PowerShell y hacer clic con el botón derecho en la ventana de la consola para pegar el contenido y ejecutar el código responsable de ejecutar un instalador MSI. de un script Visual Basic (VBS).
De manera similar, a los usuarios que terminan seleccionando «Reparación automática» se les muestran archivos alojados en WebDAV llamados «fix.msi» o «fix.vbs» en el Explorador de Windows aprovechando el controlador de protocolo «search-ms:».
Independientemente de la opción elegida, la ejecución del archivo MSI culmina con la instalación de Matanbuchus, mientras que la ejecución del archivo VBS conduce a la ejecución de DarkGate.
Otras variantes de la campaña también han resultado en la distribución de NetSupport RAT, lo que subraya los intentos de modificar y actualizar los señuelos y las cadenas de ataque a pesar de que requieren una interacción significativa por parte del usuario para tener éxito.
«El uso legítimo y las muchas formas de almacenar el código malicioso, y el hecho de que la víctima ejecuta manualmente el código malicioso sin ninguna asociación directa con un archivo, dificulta la detección de este tipo de amenazas», dijo Proofpoint.
«Dado que el software antivirus y los EDR tendrán problemas para inspeccionar el contenido del portapapeles, es necesario realizar la detección y el bloqueo antes de que el HTML/sitio malicioso se presente a la víctima».
El desarrollo también se produce cuando eSentire reveló una campaña de malware que aprovecha sitios web similares que se hacen pasar por Indeed.[.]com para eliminar el malware de robo de información SolarMarker a través de un documento atractivo que pretende ofrecer ideas para la formación de equipos.
«SolarMarker utiliza técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para manipular los resultados de los motores de búsqueda y aumentar la visibilidad de enlaces engañosos», dijo la empresa canadiense de ciberseguridad. dicho.
«El uso de tácticas de SEO por parte de los atacantes para dirigir a los usuarios a sitios maliciosos subraya la importancia de tener cuidado al hacer clic en los resultados de los motores de búsqueda, incluso si parecen legítimos».