Investigadores de ciberseguridad han revelado detalles de una campa\u00f1a de phishing en curso que aprovecha se\u00f1uelos relacionados con el reclutamiento y el trabajo para ofrecer una puerta trasera basada en Windows llamada WARMCOOKIE.<\/p>\n
“WARMCOOKIE parece ser una herramienta de puerta trasera inicial utilizada para explorar las redes de las v\u00edctimas e implementar cargas \u00fatiles adicionales”, dijo el investigador de Elastic Security Labs, Daniel Stepanic. dicho<\/a> en un nuevo an\u00e1lisis. “Cada muestra se compila con un c\u00f3digo fijo [command-and-control] Direcci\u00f3n IP y clave RC4.”<\/p>\n La puerta trasera viene con capacidades para tomar huellas dactilares de las m\u00e1quinas infectadas, realizar capturas de pantalla y eliminar m\u00e1s programas maliciosos. La empresa est\u00e1 rastreando la actividad con el nombre REF6127.<\/p>\n Las cadenas de ataques observadas desde finales de abril implican el uso de mensajes de correo electr\u00f3nico que supuestamente provienen de empresas de contrataci\u00f3n como Hays, Michael Page y PageGroup, instando a los destinatarios a hacer clic en un enlace incrustado para ver detalles sobre una oportunidad laboral.<\/p>\n A los usuarios que terminan haciendo clic en el enlace se les solicita que descarguen un documento resolviendo un desaf\u00edo CAPTCHA, tras lo cual se elimina un archivo JavaScript (“Update_23_04_2024_5689382.js”).<\/p>\n “Este script ofuscado ejecuta PowerShell, iniciando la primera tarea para cargar WARMCOOKIE”, dijo Elastic. “El script de PowerShell abusa del Servicio de transferencia inteligente en segundo plano (BITS<\/a>) para descargar WARMCOOKIE.”<\/p>\n Un componente crucial de la campa\u00f1a es el uso de infraestructura comprometida para alojar la URL de phishing inicial, que luego se utiliza para redirigir a las v\u00edctimas a la p\u00e1gina de destino adecuada.<\/p>\n WARMCOOKIE, una DLL de Windows, sigue un proceso de dos pasos que permite establecer la persistencia mediante una tarea programada e iniciar la funcionalidad principal, no sin antes realizar una serie de comprobaciones antian\u00e1lisis para evitar la detecci\u00f3n.<\/p>\n La puerta trasera est\u00e1 dise\u00f1ada para capturar informaci\u00f3n sobre el host infectado de una manera similar a un artefacto utilizado en relaci\u00f3n con una campa\u00f1a anterior con nombre en c\u00f3digo. Residente<\/a> dirigido a organizaciones manufactureras, comerciales y sanitarias.<\/p>\n Tambi\u00e9n admite comandos para leer y escribir archivos, ejecutar comandos usando cmd.exe, buscar la lista de aplicaciones instaladas y tomar capturas de pantalla.<\/p>\n “WARMCOOKIE es una puerta trasera recientemente descubierta que est\u00e1 ganando popularidad y se utiliza en campa\u00f1as dirigidas a usuarios de todo el mundo”, dijo Elastic.<\/p>\n La divulgaci\u00f3n se produce cuando Trustwave SpiderLabs detall\u00f3 una sofisticada campa\u00f1a de phishing que emplea se\u00f1uelos relacionados con facturas y aprovecha la funcionalidad de b\u00fasqueda de Windows integrada en el c\u00f3digo HTML para implementar malware.<\/p>\n “La funcionalidad proporcionada es relativamente sencilla, lo que permite a los grupos de amenazas que necesitan una puerta trasera liviana monitorear a las v\u00edctimas y desplegar cargas \u00fatiles m\u00e1s da\u00f1inas, como el ransomware”.<\/p>\n Los mensajes de correo electr\u00f3nico llevan un archivo ZIP que contiene un archivo HTML, que utiliza el legado Windows “b\u00fasqueda:” controlador de protocolo URI<\/a> para mostrar un archivo de acceso directo (LNK) alojado en un servidor remoto en el Explorador de Windows, dando la impresi\u00f3n de que es un resultado de b\u00fasqueda local.<\/p>\n “Este archivo LNK apunta a un script por lotes (BAT) alojado en el mismo servidor que, al hacer clic por parte del usuario, podr\u00eda desencadenar operaciones maliciosas adicionales”, Trustwave dicho<\/a>y agreg\u00f3 que no se pudo recuperar el script por lotes debido a que el servidor no responde.<\/p>\n Vale la pena se\u00f1alar que Trellix document\u00f3 el abuso de search-ms: y search: como vector de distribuci\u00f3n de malware en julio de 2023.<\/p>\n “Si bien este ataque no utiliza la instalaci\u00f3n automatizada de malware, s\u00ed requiere que los usuarios interact\u00faen con varios mensajes y clics”, dijo la compa\u00f1\u00eda. “Sin embargo, esta t\u00e9cnica oculta h\u00e1bilmente la verdadera intenci\u00f3n del atacante, explotando la confianza que los usuarios depositan en interfaces familiares y acciones comunes como abrir archivos adjuntos de correo electr\u00f3nico”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Nueva-campana-de-phishing-implementa-la-puerta-trasera-WARMCOOKIE-dirigida.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n