Una sofisticada campaña de phishing está utilizando un documento de Microsoft Word como señuelo para distribuir una trifecta de amenazas, a saber, Agent Tesla, OriginBotnet y OriginBotnet, para recopilar una amplia gama de información de las máquinas Windows comprometidas.
«Un correo electrónico de phishing entrega el documento de Word como un archivo adjunto, presentando una imagen deliberadamente borrosa y un reCAPTCHA falso para atraer al destinatario a hacer clic en él», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho.
Al hacer clic en la imagen, se entrega un cargador desde un servidor remoto que, a su vez, está diseñado para distribuir OriginBotnet para el registro de teclas y recuperación de contraseñas, RedLine Clipper para el robo de criptomonedas y Agent Tesla para recopilar información confidencial.
El cargador, escrito en .NET, emplea una técnica llamada relleno binario añadiendo bytes nulos para aumentar el tamaño del archivo a 400 MB en un intento de evadir la detección por parte del software de seguridad.
La activación del cargador desencadena un proceso de varias etapas para establecer persistencia en el host y extraer una biblioteca de vínculos dinámicos (DLL) que es responsable de liberar las cargas útiles finales.
Uno de ellos es RedLine Clipper, un ejecutable .NET para robar criptomonedas manipulando el portapapeles del sistema del usuario para sustituir la dirección de la billetera de destino por una controlada por el atacante.
«Para llevar a cabo esta operación, RedLine Clipper utiliza el ‘OnClipboardChangeEventHandler‘ para monitorear periódicamente los cambios en el portapapeles y verificar si la cadena copiada se ajusta a la expresión regular», dijo Lin.
Agente Teslapor otro lado, es un troyano de acceso remoto (RAT) basado en .NET y un ladrón de datos para obtener acceso inicial y filtrar información confidencial, como pulsaciones de teclas y credenciales de inicio de sesión utilizadas en navegadores web, a un servidor de comando y control (C2). a través del protocolo SMTP.
También se entrega un nuevo malware denominado OriginBotnet, que incluye una amplia gama de funciones para recopilar datos, establecer comunicaciones con su servidor C2 y descargar complementos complementarios del servidor para ejecutar funciones de registro de teclas o recuperación de contraseñas en puntos finales comprometidos.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
«El complemento PasswordRecovery recupera y organiza las credenciales de varios navegadores y cuentas de software», dijo Lin. «Registra estos resultados y los informa mediante solicitudes HTTP POST».
Vale la pena señalar que la Unidad 42 de Palo Alto Networks, en septiembre de 2022, detalló un sucesor del Agente Tesla llamado OriginLogger, que viene con características similares a las de OriginBotnet, lo que sugiere que ambos podrían ser obra del mismo actor de amenazas.
«Esta campaña de ciberataque […] «Involucró una compleja cadena de eventos», dijo Fortinet. «Comenzó con un documento de Word malicioso distribuido a través de correos electrónicos de phishing, lo que llevó a las víctimas a descargar un cargador que ejecutaba una serie de cargas útiles de malware. El ataque demostró técnicas sofisticadas para evadir la detección y mantener la persistencia en los sistemas comprometidos».