Un actor de amenazas emergente y poco sofisticado es difundir varios tipos de malware con informes contables atrae a una campaña de phishing que se basa en software malicioso y legítimo disponible para su éxito.
La campaña activa de phishing realizada por un actor identificado como Fluffy Wolf demuestra cómo incluso los actores de amenazas en gran medida no capacitados pueden aprovechar los modelos de malware como servicio (MaaS) para llevar a cabo ataques cibernéticos exitosos, según investigadores de la firma de gestión de riesgos digitales Bi.Zone. Actualmente, la campaña está dirigida a organizaciones rusas, pero podría extenderse a otras regiones.
“Aunque son mediocres en términos de habilidades técnicas, estos actores de amenazas logran sus objetivos utilizando sólo dos conjuntos de herramientas: servicios legítimos de acceso remoto y malware económico”, según publicaciones de blog separadas publicadas tanto en el sitio web de la compañía como en su sitio web. Cuenta de blog mediana.
Para obtener acceso inicial a las infraestructuras objetivo, Fluffy Wolf, activo desde 2022, se hace pasar por una empresa de construcción para enviar correos electrónicos de phishing con archivos adjuntos disfrazados de informes de conciliación o informes destinados a garantizar que los diferentes conjuntos de cifras contables sean correctos. Los archivos protegidos con contraseña ocultan una variedad de cargas útiles maliciosas; el principal es Meta Stealer, clon del popular Ladrón de línea roja.
Fluffy Wolf también propaga una variedad de otros programas maliciosos, incluido software legítimo como Remote Utilities, WarZone RAT y XMRig miner.
Hasta ahora, el grupo ha realizado al menos 140 ataques a empresas en Rusia, donde el phishing sigue siendo una de las formas más frecuentes de entrada inicial en entornos corporativos, encontraron los investigadores.
“Suplantación de identidad fue el arma elegida para el 68% de todos los ataques dirigidos a organizaciones rusas el año pasado”, según Bi.Zone. Además, al menos el 5% de los empleados de las empresas rusas abren archivos adjuntos hostiles y hacen clic en enlaces en correos electrónicos de phishing, lo que facilita la ejecución de una campaña maliciosa a gran escala, según la empresa.
Una vez que un usuario corporativo hace clic en el documento atractivo, que se incluye en los correos electrónicos titulados “Informes para firmar”, el archivo ejecuta varios procesos. Uno de ellos es el lanzamiento del cargador de utilidades remotas para entregar una copia de Meta Stealer desde un servidor de comando y control (C2) controlado por un atacante.
El uso de estos dos programas maliciosos es clave para la campaña, ya que ambos están fácilmente disponibles para los actores de amenazas. Remote Utilities es una herramienta legítima de acceso remoto y Meta Stealer se puede comprar en foros clandestinos y en canales de Telegram por tan solo 150 dólares al mes.
Remote Utilities permite a un actor de amenazas obtener control total sobre un dispositivo comprometido para rastrear las acciones del usuario, transmitir archivos, ejecutar comandos e interactuar con el programador de tareas, entre otras actividades. “Los actores de amenazas continúan experimentando con amenazas legítimas. software de acceso remoto para mejorar su arsenal con nuevas herramientas”, según Bi.Zone.
Mientras tanto, Meta Stealer obtiene datos confidenciales de dispositivos infectados, incluidas credenciales de usuario y cookies de navegadores tipo Chromium y Firefox, así como datos del programa de servidor FTP gratuito FileZilla, carteras de criptomonedas y clientes VPN. Luego envía los datos al C2 del atacante.
Defensas cibernéticas contra Fluffy Wolf
La campaña Fluffy Wolf demuestra cómo es más fácil que nunca para los actores de amenazas atacar sistemas usando MaaS y otras herramientas de software disponibles, por lo que es importante que las organizaciones utilicen una variedad de soluciones de seguridad para protegerse, según Bi.Zone.
Como suplantación de identidad sigue siendo un punto de entrada principal para los atacantes, las organizaciones deben utilizar servicios de seguridad de correo electrónico administrados que impidan la conexión al servidor C2 de un actor de amenazas incluso si un usuario corporativo hace clic en un enlace o archivo de correo electrónico malicioso.
Emplear algún tipo de inteligencia de amenazas Una plataforma dentro de una organización para mantener continuamente el conocimiento de las campañas maliciosas en constante evolución también puede ayudar a una organización a mitigar el riesgo.
“Para adelantarse a los actores de amenazas, es necesario conocer los métodos utilizados en los ataques contra diferentes infraestructuras y comprender el panorama de amenazas”, según Bi.Zone.
Con ese fin, Bi.Zone incluyó en su publicación de blog Medium una lista de indicadores de compromiso (IoC) y un marco MITRE ATT&CK para el vector de phishing Fluffy Wolf.
Fuente Original CISO2CISO.COM & CYBER SECURITY GROUP
