Las principales compañías financieras y de seguros ubicadas en países de habla francesa en África han sido atacadas durante los últimos dos años como parte de una persistente campaña maliciosa cuyo nombre en código es PeligrosaSavanna.
Los países objetivo incluyen Costa de Marfil, Marruecos, Camerún, Senegal y Togo, y los ataques de spear-phishing se centraron en gran medida en Costa de Marfil en los últimos meses, la firma de ciberseguridad israelí Check Point dijo en un informe del martes.
Las cadenas de infección implican dirigirse a los empleados de las instituciones financieras con mensajes de ingeniería social que contienen archivos adjuntos maliciosos como medio de acceso inicial, lo que en última instancia conduce a la implementación de malware comercial como metasploit, EleganteC2, Servicio DWy AsyncRAT.
«La creatividad de los actores de amenazas se muestra en la etapa inicial de infección, ya que persiguen persistentemente a los empleados de las empresas objetivo, cambiando constantemente las cadenas de infección que utilizan una amplia gama de tipos de archivos maliciosos, desde cargadores ejecutables escritos por ellos mismos y documentos maliciosos, a archivos ISO, LNK, JAR y VBE en varias combinaciones», dijo la compañía.
Los correos electrónicos de phishing están escritos en francés y se envían utilizando los servicios de Gmail y Hotmail, y los mensajes también se hacen pasar por otras instituciones financieras en África para aumentar su credibilidad.
Si bien los ataques en 2021 aprovecharon los documentos de Microsoft Word con macros como señuelos, la decisión de la compañía de bloquear las macros en los archivos descargados de Internet de forma predeterminada a principios de este año ha llevado a los actores de DangerousSavanna a cambiar a archivos PDF e ISO.
Además, la primera ola de ataques desde finales de 2020 hasta principios de 2021 involucró el uso de herramientas personalizadas basadas en .NET, que se disfrazaron como archivos PDF adjuntos a correos electrónicos de phishing, para recuperar droppers y cargadores de próxima etapa de servidores remotos. .
Independientemente del método utilizado, las actividades posteriores a la explotación que se llevan a cabo después de obtener un punto de apoyo inicial incluyen el establecimiento de persistencia, la realización de reconocimientos y la entrega de cargas útiles adicionales para controlar de forma remota el host, eliminar los procesos antimalware y registrar las pulsaciones de teclas.
La procedencia exacta del actor de amenazas sigue sin estar clara, pero el cambio frecuente en sus herramientas y métodos demuestra su conocimiento del software de código abierto y su capacidad para afinar sus tácticas para maximizar las ganancias financieras.
«Si una cadena de infección no funcionaba, cambiaban el archivo adjunto y el señuelo e intentaban apuntar a la misma empresa una y otra vez tratando de encontrar un punto de entrada», dijo Check Point. «Con la ingeniería social a través de spear-phishing, todo lo que se necesita es un clic imprudente por parte de un usuario desprevenido».