Un actor de amenazas previamente desconocido ha estado apuntando a empresas en los EE. UU. y Alemania con malware a medida diseñado para robar información confidencial.
Empresa de seguridad empresarial Proofpoint, que está rastreando el grupo de actividades bajo el nombre Tiempo de pantalladijo el grupo, apodado TA866es probable que esté motivado económicamente.
«TA866 es un actor organizado capaz de realizar ataques bien pensados a escala en función de su disponibilidad de herramientas personalizadas, la capacidad y las conexiones para comprar herramientas y servicios de otros proveedores y el aumento de los volúmenes de actividad», dijo la empresa. juzgado.
Se dice que las campañas montadas por el adversario comenzaron alrededor del 3 de octubre de 2022, y los ataques se lanzaron a través de correos electrónicos que contenían un archivo adjunto con una trampa explosiva o una URL que conduce al malware. Los archivos adjuntos van desde archivos de Microsoft Publisher con macros hasta archivos PDF con URL que apuntan a archivos JavaScript.
Las intrusiones también han aprovechado el secuestro de conversaciones para atraer a los destinatarios a hacer clic en direcciones URL aparentemente inocuas que inician una cadena de ataque de varios pasos.
Independientemente del método utilizado, la ejecución del archivo JavaScript descargado conduce a un instalador MSI que desempaqueta un VBScript denominado WasabiSeed, que funciona como una herramienta para obtener malware de próxima etapa desde un servidor remoto.
Una de las cargas útiles descargadas por WasabiSeed es Screenshotter, una utilidad que tiene la tarea de tomar capturas de pantalla del escritorio de la víctima periódicamente y transmitir esa información a un servidor de comando y control (C2).
«Esto es útil para el actor de amenazas durante la etapa de reconocimiento y perfilado de víctimas», dijo Axel F, investigador de Proofpoint.
Una fase de reconocimiento exitosa es seguida por la distribución de más malware para la explotación posterior, con ataques seleccionados que implementan un bot basado en AutoHotKey (AHK) para eliminar un ladrón de información llamado radamanthys.
Proofpoint dijo que las URL utilizadas en la campaña involucraban un sistema de dirección de tráfico (TDS) llamado 404 TDS, que permite al adversario servir malware solo en escenarios donde las víctimas cumplen con un conjunto específico de criterios, como geografía, aplicación de navegador y sistema operativo.
Los orígenes de TA866 aún no están claros, aunque se han identificado nombres de variables y comentarios en ruso en el código fuente de AHK Bot, cuya variante de 2020 se empleó en ataques dirigidos a bancos canadienses y estadounidenses. También se sospecha que el malware se ha utilizado ya en abril 2019.
«El uso de Screenshotter para recopilar información sobre un host comprometido antes de implementar cargas útiles adicionales indica que el actor de amenazas está revisando manualmente las infecciones para identificar objetivos de alto valor», dijo Proofpoint.
«Es importante tener en cuenta que para que un compromiso tenga éxito, un usuario debe hacer clic en un enlace malicioso y, si se filtra con éxito, interactuar con un archivo JavaScript para descargar y ejecutar cargas útiles adicionales».
Los hallazgos se producen en medio de un aumento en los actores de amenazas. difícil afuera nuevas formas para ejecutar código en los dispositivos de los objetivos después de que Microsoft bloqueara las macros de forma predeterminada en los archivos de Office descargados de Internet.
Esto incluye el uso de envenenamiento de optimización de motores de búsqueda (SEO), publicidad maliciosa y falsificación de marca para distribuir malware empaquetando las cargas útiles como software popular, como aplicaciones de escritorio remoto y plataformas de reuniones en línea.
Además, los anuncios maliciosos en los resultados de búsqueda de Google se utilizan para redirigir a los usuarios desprevenidos a sitios web fraudulentos de phishing de credenciales que están diseñados para robar los inicios de sesión de Amazon Web Services (AWS), según una nueva campaña documentada por SentinelOne.
“La proliferación de anuncios de Google maliciosos que conducen a sitios web de phishing de AWS representa una seria amenaza no solo para los usuarios promedio, sino también para los administradores de redes y nubes”, dijo la compañía de ciberseguridad. dicho.
«La facilidad con la que se pueden lanzar estos ataques, combinada con la audiencia grande y diversa a la que puede llegar Google Ads, los convierte en una amenaza particularmente potente».
Otra técnica que ha experimentado un aumento en los últimos meses es el abuso de formatos de archivo novedosos como Microsoft OneNote y documentos de Publisher para la entrega de malware.
Los ataques no son diferentes de los que utilizan otros tipos de archivos maliciosos de Office, en los que se engaña al destinatario del correo electrónico para que abra el documento y haga clic en un botón falso, lo que da como resultado la ejecución de un código HTA incrustado para recuperar el malware Qakbot.
«A lo largo de los años, los administradores de correo electrónico han establecido reglas que evitan por completo o lanzan advertencias que suenan severas en cualquier mensaje entrante que se origine fuera de la organización con una variedad de formatos de archivo abusivos adjuntos», dijo Andrew Brandt, investigador de Sophos. dicho.
«Parece probable que las libretas OneNote .one sean el próximo formato de archivo que terminará en el tajo de archivos adjuntos de correo electrónico, pero por ahora, sigue siendo un riesgo persistente».