Se ha observado que los actores de amenazas detrás de los ladrones de información RedLine y Vidar recurren al ransomware a través de campañas de phishing que difunden cargas útiles iniciales firmadas con Validación Extendida (vehículo eléctrico) certificados de firma de código.
«Esto sugiere que los actores de amenazas están agilizando las operaciones al hacer que sus técnicas sean multipropósito», investigadores de Trend Micro. dicho en un nuevo análisis publicado esta semana.
En el incidente investigado por la empresa de ciberseguridad, se dice que una víctima anónima recibió primero un malware ladrón de información con certificados de firma de código EV, seguido de un ransomware que utilizaba la misma técnica de entrega.
En el pasado, las infecciones por QakBot se han aprovechado muestras firmadas con certificados de firma de código válidos para eludir las protecciones de seguridad.
Los ataques comienzan con correos electrónicos de phishing que emplean señuelos muy usados para engañar a las víctimas para que ejecuten archivos adjuntos maliciosos que se hacen pasar por imágenes PDF o JPG pero que en realidad son ejecutables que activan el compromiso al ejecutarse.
Si bien la campaña dirigida a la víctima entregó malware ladrón en julio, una carga útil de ransomware llegó a principios de agosto después de recibir un mensaje de correo electrónico que contenía un archivo adjunto falso de queja de TripAdvisor («TripAdvisor-Complaint.pdf.htm»), lo que desencadenó una secuencia de pasos que culminó con el despliegue de ransomware.
«En este punto, vale la pena señalar que, a diferencia de las muestras del ladrón de información que investigamos, los archivos utilizados para eliminar la carga útil del ransomware no tenían certificados EV», dijeron los investigadores.
«Sin embargo, ambos provienen del mismo actor de amenazas y se propagan utilizando el mismo método de entrega. Por lo tanto, podemos suponer una división del trabajo entre el proveedor de carga útil y los operadores».
El desarrollo se produce cuando IBM X-Force descubrió nuevas campañas de phishing que difunden una versión mejorada de un cargador de malware llamado DBatLoader, que se utilizó como conducto para distribuir FormBook y Remcos RAR a principios de este año.
Las nuevas capacidades de DBatLoader facilitan la omisión, la persistencia y la inyección de procesos de UAC, lo que indica que se está manteniendo activamente para eliminar programas maliciosos que pueden recopilar información confidencial y permitir el control remoto de los sistemas.
El reciente conjunto de ataques, detectado desde finales de junio, está diseñado para generar también malware básico como Agent Tesla y Warzone RAT. La mayoría de los mensajes de correo electrónico han señalado a personas de habla inglesa, aunque también se han detectado correos electrónicos en español y turco.
«En varias campañas observadas, los actores de amenazas aprovecharon suficiente control sobre la infraestructura de correo electrónico para permitir que los correos electrónicos maliciosos pasaran los métodos de autenticación de correo electrónico SPF, DKIM y DMARC», dijo la compañía. dicho.
«La mayoría de las campañas aprovecharon OneDrive para organizar y recuperar cargas útiles adicionales, y una pequeña fracción utilizó la transferencia[.]sh o dominios nuevos/comprometidos.»
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
En noticias relacionadas, Malwarebytes reveló que una nueva campaña de publicidad maliciosa se dirige a los usuarios que buscan el software de videoconferencia Webex de Cisco en motores de búsqueda como Google para redirigirlos a un sitio web falso que propaga el malware BATLOADER.
BATLOADER, por su parte, establece contacto con un servidor remoto para descargar una carga útil cifrada de segunda etapa, que es otro conocido malware ladrón y registrador de pulsaciones denominado DanaBot.
Una técnica novedosa adoptada por el actor de amenazas es el uso de URL de plantillas de seguimiento como mecanismo de filtrado y redireccionamiento para tomar huellas dactilares y determinar posibles víctimas de interés. Los visitantes que no cumplen con los criterios (por ejemplo, solicitudes que se originan en un entorno aislado) son dirigidos al sitio legítimo de Webex.
«Debido a que los anuncios parecen tan legítimos, no hay duda de que la gente hará clic en ellos y visitará sitios no seguros», Jérôme Segura, director de inteligencia de amenazas de Malwarebytes, dicho.
«El tipo de software que se utiliza en esos anuncios indica que los actores de amenazas están interesados en víctimas corporativas que les proporcionarán credenciales útiles para realizar más pruebas de pentesting en la red y, en algunos casos, implementar ransomware».