Los investigadores de seguridad cibernética dijeron que han descubierto lo que dicen que es el primer ataque a la cadena de suministro de software de código abierto dirigido específicamente al sector bancario.
“Estos ataques mostraron técnicas avanzadas, incluido el objetivo de componentes específicos en los activos web del banco de la víctima al adjuntarle funcionalidades maliciosas”, Checkmarx dicho en un informe publicado la semana pasada.
“Los atacantes emplearon tácticas engañosas como crear un perfil falso de LinkedIn para parecer centros de mando y control (C2) creíbles y personalizados para cada objetivo, explotando servicios legítimos para actividades ilícitas”.
Desde entonces, los paquetes npm han sido informados y eliminados. Los nombres de los paquetes no fueron revelados.
En el primer ataque, se dice que el autor del malware subió un par de paquetes al registro de npm a principios de abril de 2023 haciéndose pasar por un empleado del banco objetivo. Los módulos venían con un script de preinstalación para activar la secuencia de infección. Para completar la artimaña, el actor de amenazas detrás de ella creó una página falsa de LinkedIn.
Una vez iniciado, el script determinó el sistema operativo del host para ver si era Windows, Linux o macOS, y procedió a descargar un malware de segunda etapa desde un servidor remoto utilizando un subdominio en Azure que incorporaba el nombre del banco en cuestión.
“El atacante utilizó hábilmente los subdominios CDN de Azure para entregar de manera efectiva la carga útil de la segunda etapa”, dijeron los investigadores de Checkmarx. “Esta táctica es particularmente inteligente porque pasa por alto los métodos de lista de denegación tradicionales, debido al estado de Azure como un servicio legítimo”.
La carga útil de la segunda etapa utilizada en la intrusión es Havoc, un marco de comando y control (C2) de código abierto que ha pasado cada vez más bajo el radar de los actores malintencionados que buscan eludir la detección derivada del uso de Cobalt Strike, Sliver y Brute Ratel.
En un ataque no relacionado detectado en febrero de 2023 dirigido a un banco diferente, el adversario subió a npm un paquete que estaba “meticulosamente diseñado para mezclarse con el sitio web del banco víctima y permanecer inactivo hasta que se le solicitara que entrara en acción”.
Específicamente, fue diseñado para interceptar de forma encubierta los datos de inicio de sesión y filtrar los detalles a una infraestructura controlada por un actor.
“La seguridad de la cadena de suministro gira en torno a la protección de todo el proceso de creación y distribución de software, desde las etapas iniciales de desarrollo hasta la entrega al usuario final”, dijo la empresa.
“Una vez que un paquete malicioso de código abierto ingresa a la tubería, es esencialmente una violación instantánea, lo que hace que las contramedidas posteriores sean ineficaces. En otras palabras, el daño ya está hecho”.
El desarrollo se produce cuando el grupo de ciberdelincuencia de habla rusa RedCurl violó un importante banco ruso anónimo y una empresa australiana en noviembre de 2022 y mayo de 2023 para desviar secretos corporativos e información de los empleados como parte de una sofisticada campaña de phishing, dijo FACCT, el brazo ruso de Group-IB.
“Durante los últimos cuatro años y medio, el grupo de habla rusa Red Curl […] ha llevado a cabo al menos 34 ataques contra empresas del Reino Unido, Alemania, Canadá, Noruega, Ucrania y Australia”, dijo la empresa dicho.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
“Más de la mitad de los ataques, 20, cayeron en Rusia. Entre las víctimas de los ciberespías se encontraban empresas constructoras, financieras, de consultoría, minoristas, bancos, seguros y organizaciones legales”.
Las instituciones financieras también han estado en el extremo receptor de los ataques que aprovechan un conjunto de herramientas de inyección web llamado drIBAN para realizar transacciones no autorizadas desde la computadora de una víctima de una manera que elude la verificación de identidad y los mecanismos antifraude adoptados por los bancos.
“La funcionalidad principal de drIban es el motor ATS (Automatic Transfer System)”, los investigadores de Cleafy Federico Valentini y Alessandro Strino anotado en un análisis publicado el 18 de julio de 2023.
“ATS es una clase de inyección web que altera sobre la marcha las transferencias bancarias legítimas realizadas por el usuario, cambiando el beneficiario y transfiriendo el dinero a una cuenta bancaria ilegítima controlada por TA o afiliados, que luego son responsables de manejar y lavar el dinero robado”.
About the Author
