Varias campañas de phishing están aprovechando la red descentralizada del sistema de archivos interplanetario (IPFS) para alojar malware, infraestructura de kits de phishing y facilitar otros ataques.
«Múltiples familias de malware actualmente se alojan en IPFS y se recuperan durante las etapas iniciales de los ataques de malware», dijo el investigador de Cisco Talos, Edmund Brumaghin, en un comunicado. análisis compartido con The Hacker News.
La investigación refleja hallazgos similares de Trustwave SpiderLabs en julio de 2022, que encontró más de 3000 correos electrónicos que contenían URL de phishing de IPFS como vector de ataque, llamando a IPFS el nuevo «semillero» para alojar sitios de phishing.
IPFS como tecnología es resistente a la censura y a los derribos, lo que la convierte en un arma de doble filo. Detrás de ella se encuentra una red peer-to-peer (P2P) que replica el contenido en todos los nodos participantes, de modo que incluso si el contenido se elimina de una máquina, las solicitudes de los recursos aún se pueden atender a través de otros sistemas.
Esto también lo hace propicio para el abuso por parte de malos actores que buscan alojar malware que pueda resistir los intentos de las fuerzas del orden público de interrumpir su infraestructura de ataque, como se vio en el caso de Emotet el año pasado.
«IPFS está siendo abusado actualmente por una variedad de actores de amenazas que lo utilizan para alojar contenido malicioso como parte de campañas de phishing y distribución de malware», dijo Brumaghin anteriormente a The Hacker News en agosto de 2022.
Esto incluye Dark Utilities, un marco de comando y control (C2) que se anuncia como una forma para que los adversarios aprovechen el acceso remoto al sistema, las capacidades DDoS y la minería de criptomonedas, con los archivos binarios de carga proporcionados por la plataforma alojada en IPFS.
Además, IPFS se ha utilizado para servir páginas de inicio no autorizadas como parte de campañas de phishing orquestadas para robar credenciales y distribuir una amplia gama de malware que incluye Agent Tesla, shells inversos, borrador de datos y un ladrón de información llamado Hannabi Grabber.
En una cadena de entrega de malspam detallada por Talos, un correo electrónico que pretendía ser de una institución financiera turca instaba al destinatario a abrir un archivo adjunto ZIP que, cuando se iniciaba, funcionaba como un descargador para recuperar una versión ofuscada del Agente Tesla alojado en la red IPFS. .
El malware destructivo, por su parte, toma la forma de un archivo por lotes que elimina las copias de seguridad y purga recursivamente todo el contenido del directorio. Hannabi Grabber es un malware basado en Python que recopila información confidencial del host infectado, como datos del navegador y capturas de pantalla, y la transmite a través de un Webhook de discordia.
El último desarrollo apunta al uso cada vez mayor por parte de los atacantes de ofertas legítimas como Discord, Slack, Telegram, Dropbox, Google Drive, AWS y varias otras para alojar contenido malicioso o dirigir a los usuarios hacia él, lo que convierte al phishing en uno de los primeros lucrativos. vectores de acceso.
«Esperamos que esta actividad continúe aumentando a medida que más actores de amenazas reconozcan que IPFS se puede usar para facilitar el alojamiento a prueba de balas, es resistente contra la moderación de contenido y las actividades de aplicación de la ley, y presenta problemas para las organizaciones que intentan detectar y defenderse de los ataques que pueden aprovechar el red IPFS», dijo Brumaghin.