Se ha observado una nueva campaña de malware dirigida a Italia con correos electrónicos de phishing diseñados para implementar un ladrón de información en sistemas Windows comprometidos.
«El malware ladrón de información roba información confidencial como información del sistema, billetera criptográfica e historiales de navegador, cookies y credenciales de billeteras criptográficas de las máquinas de las víctimas», dijo Karthickkumar Kathiresan, investigador de seguridad de Uptycs. dicho en un informe
Los detalles de la campaña fueron primero revelado por la firma de servicios de TI con sede en Milán SI.net el mes pasado.
La secuencia de infección de múltiples etapas comienza con un correo electrónico de phishing con el tema de una factura que contiene un enlace que, al hacer clic, descarga un archivo ZIP protegido con contraseña, que contiene dos archivos: un archivo de acceso directo (.LNK) y un archivo por lotes (.BAT) expediente.
Independientemente del archivo que se inicie, la cadena de ataque sigue siendo la misma, ya que al abrir el archivo de acceso directo se obtiene el mismo script por lotes diseñado para instalar la carga útil del ladrón de información desde un repositorio de GitHub. Esto se logra aprovechando un binario legítimo de PowerShell que también se recupera de GitHub.
Una vez instalado, el malware basado en C# recopila metadatos del sistema e información de docenas de navegadores web (por ejemplo, cookies, marcadores, tarjetas de crédito, descargas y credenciales), así como varias billeteras de criptomonedas, todo lo cual se transmite a un actor. -dominio controlado.
Para mitigar tales ataques, se recomienda a las organizaciones implementar «controles de seguridad estrictos y soluciones de seguridad y visibilidad de múltiples capas para identificar y detectar malware».