Los actores de amenazas han estado aprovechando sitios web falsos que anuncian software de videoconferencia popular como Google Meet, Skype y Zoom para entregar una variedad de malware dirigido a usuarios de Android y Windows desde diciembre de 2023.
«El actor de amenazas distribuye troyanos de acceso remoto (RAT), incluido SpyNote RAT para plataformas Android y NjRAT y DCRat para sistemas Windows», investigadores de Zscaler ThreatLabz. dicho.
Los sitios falsificados están en ruso y están alojados en dominios que se parecen mucho a sus homólogos legítimos, lo que indica que los atacantes están utilizando trucos de typosquatting para atraer a posibles víctimas a descargar el malware.
También vienen con opciones para descargar la aplicación para plataformas Android, iOS y Windows. Mientras que al hacer clic en el botón de Android se descarga un archivo APK, al hacer clic en el botón de la aplicación de Windows se activa la descarga de un script por lotes.
El script por lotes malicioso es responsable de ejecutar un script de PowerShell que, a su vez, descarga y ejecuta el troyano de acceso remoto.
Actualmente, no hay evidencia de que el actor de amenazas esté apuntando a usuarios de iOS, dado que al hacer clic en el botón de la aplicación de iOS, el usuario accede a la lista legítima de Skype de la App Store de Apple.
«Un actor de amenazas está utilizando estos señuelos para distribuir RAT para Android y Windows, que pueden robar información confidencial, registrar pulsaciones de teclas y robar archivos», dijeron los investigadores.
El desarrollo se produce cuando el Centro de inteligencia de seguridad de AhnLab (ASEC) reveló que un nuevo malware denominado WogRAT dirigido tanto a Windows como a Linux está abusando de una plataforma gratuita de bloc de notas en línea llamada aNotepad como vector encubierto para alojar y recuperar código malicioso.
Se dice que estará activo al menos desde finales de 2022 y apuntará a países asiáticos como China, Hong Kong, Japón y Singapur, entre otros. Dicho esto, actualmente no se sabe cómo se distribuye el malware en la naturaleza.
«Cuando WogRAT se ejecuta por primera vez, recopila información básica del sistema infectado y la envía al servidor C&C», ASEC dicho. «El malware admite comandos como ejecutar comandos, enviar resultados, descargar archivos y cargar estos archivos».
También coincide con campañas de phishing de gran volumen orquestadas por un actor cibercriminal con motivación financiera conocido como TA4903 para robar credenciales corporativas y probablemente seguirlas con ataques de compromiso de correo electrónico empresarial (BEC). El adversario ha estado activo desde al menos 2019, y las actividades se intensificaron después de mediados de 2023.
«TA4903 realiza habitualmente campañas suplantando a varias entidades del gobierno de EE. UU. para robar credenciales corporativas», Proofpoint dicho. «El actor también falsifica a organizaciones de diversos sectores, incluidos la construcción, las finanzas, la atención sanitaria, la alimentación y las bebidas, entre otros».
Las cadenas de ataque implican el uso de códigos QR (también conocido como quishing) para el phishing de credenciales, así como la dependencia del kit de phishing EvilProxy adversary-in-the-middle (AiTM) para eludir las protecciones de autenticación de dos factores (2FA).
Una vez que un buzón de correo objetivo se ve comprometido, se ha observado que el actor de la amenaza busca información relevante sobre pagos, facturas e información bancaria, con el objetivo final de secuestrar hilos de correo electrónico existentes y realizar fraudes en las facturas.
Las campañas de phishing también han funcionado como conducto para otras familias de malware como Puerta oscura, Agente Tesla y Remcos RATel último de los cuales aprovecha señuelos esteganográficos para lanzar el malware en los hosts comprometidos.