Se ha observado que los actores de amenazas ocultan código malicioso en imágenes para entregar malware como VIP Keylogger y 0bj3ctivity Stealer como parte de campañas separadas.
“En ambas campañas, los atacantes ocultaron código malicioso en imágenes que subieron al archivo.[.]org, un sitio web de alojamiento de archivos, y utilizaron el mismo cargador .NET para instalar sus cargas útiles finales”, HP Wolf Security dicho en su Informe Threat Insights para el tercer trimestre de 2024 compartido con The Hacker News.
El punto de partida es un correo electrónico de phishing que se hace pasar por facturas y órdenes de compra para engañar a los destinatarios para que abran archivos adjuntos maliciosos, como documentos de Microsoft Excel, que, cuando se abren, explotan una falla de seguridad conocida en el Editor de ecuaciones (CVE-2017-11882) para descargar un archivo VBScript.
El script, por su parte, está diseñado para decodificar y ejecutar un script de PowerShell que recupera una imagen alojada en un archivo.[.]org y extrae un código codificado en Base64, que posteriormente se decodifica en un ejecutable .NET y se ejecuta.
El ejecutable .NET sirve como cargador para descargar VIP Keylogger desde una URL determinada y lo ejecuta, lo que permite a los actores de amenazas robar una amplia gama de datos de los sistemas infectados, incluidas pulsaciones de teclas, contenido del portapapeles, capturas de pantalla y credenciales. Acciones de Keylogger VIP superposiciones funcionales con Snake Keylogger y 404 Keylogger.
Se ha descubierto que una campaña similar envía archivos maliciosos a los objetivos por correo electrónico. Estos mensajes, que se hacen pasar por solicitudes de cotización, tienen como objetivo atraer a los visitantes para que abran un archivo JavaScript dentro del archivo que luego inicia un script de PowerShell.
Como en el caso anterior, el script de PowerShell descarga una imagen de un servidor remoto, analiza el código codificado en Base64 que contiene y ejecuta el mismo cargador basado en .NET. La diferencia es que la cadena de ataque culmina con el despliegue de un ladrón de información llamado 0bj3ctivity.
Los paralelos entre las dos campañas sugieren que los actores de amenazas están aprovechando los kits de malware para mejorar la eficiencia general, al tiempo que reducen el tiempo y la experiencia técnica necesarios para diseñar los ataques.
HP Wolf Security también dijo que observó a malos actores que recurrían a técnicas de contrabando de HTML para eliminar el troyano de acceso remoto (RAT) XWorm mediante un cuentagotas AutoIt, haciéndose eco de campañas anteriores que distribuían AsyncRAT de manera similar.
“En particular, los archivos HTML tenían características que sugerían que habían sido escritos con la ayuda de GenAI”, dijo HP. “La actividad apunta al uso creciente de GenAI en las etapas iniciales de acceso y entrega de malware de la cadena de ataque”.
“De hecho, los actores de amenazas pueden obtener numerosos beneficios de GenAI, desde escalar ataques y crear variaciones que podrían aumentar sus tasas de infección, hasta dificultar la atribución por parte de los defensores de la red”.
Eso no es todo. Se ha descubierto que los actores de amenazas crean repositorios de GitHub que anuncian trampas y herramientas de modificación de videojuegos para implementar el malware Lumma Stealer utilizando un cuentagotas .NET.
“Las campañas analizadas proporcionan más evidencia de la mercantilización del cibercrimen”, afirmó Alex Holland, investigador principal de amenazas en el HP Security Lab. “A medida que los kits de malware por números están más disponibles, son más asequibles y fáciles de usar, incluso los principiantes con habilidades y conocimientos limitados pueden armar una cadena de infección efectiva”.
About the Author
