Los investigadores de ciberseguridad han detectado una nueva ola de ataques de phishing que tienen como objetivo ofrecer un ladrón de información en constante evolución conocido como StrelaStealer.
Las campañas impactan a más de 100 organizaciones en la UE y los EE. UU., dijeron los investigadores de la Unidad 42 de Palo Alto Networks en un nuevo informe publicado hoy.
“Estas campañas vienen en forma de correos electrónicos no deseados con archivos adjuntos que eventualmente lanzan la carga útil DLL de StrelaStealer”, dijo la compañía en un informe publicado hoy.
“En un intento de evadir la detección, los atacantes cambian el formato del archivo adjunto inicial del correo electrónico de una campaña a la siguiente, para evitar la detección a partir de la firma o los patrones generados previamente”.
StrelaStealer, divulgado por primera vez en noviembre de 2022, está equipado para desviar datos de inicio de sesión de correo electrónico de clientes de correo electrónico conocidos y exfiltrarlos a un servidor controlado por un atacante.
Desde entonces, se han detectado dos campañas a gran escala relacionadas con el malware en noviembre de 2023 y enero de 2024 dirigidas a los sectores de alta tecnología, finanzas, profesional y legal, manufactura, gobierno, energía, seguros y construcción en la UE y los EE. UU.
Estos ataques también apuntan a ofrecer una nueva variante del ladrón que incluye mejores técnicas de ofuscación y antianálisis, mientras se propaga a través de correos electrónicos con temas de facturas que contienen archivos adjuntos ZIP, lo que marca un cambio respecto de los archivos ISO.
Dentro de los archivos ZIP hay un archivo JavaScript que coloca un archivo por lotes, que, a su vez, inicia la carga útil DLL ladrón usando rundll32.exe, un componente legítimo de Windows responsable de ejecutar bibliotecas de enlaces dinámicos de 32 bits.
El malware ladrón también se basa en una serie de trucos de ofuscación para dificultar el análisis en entornos aislados.
“Con cada nueva ola de campañas de correo electrónico, los actores de amenazas actualizan tanto el archivo adjunto del correo electrónico, que inicia la cadena de infección, como la carga útil de la DLL”, dijeron los investigadores.
La divulgación se produce cuando Symantec, propiedad de Broadcom, reveló que instaladores falsos para aplicaciones conocidas o software descifrado alojado en GitHub, Mega o Dropbox están sirviendo como conducto para un malware ladrón conocido como Stealc.
También se han observado campañas de phishing que entregan Revenge RAT y Remcos RAT (también conocido como Rescoms), y este último se entrega mediante un cifrador como servicio (CaaS) llamado AceCryptor, según ESET.
“Durante la segunda mitad de [2023]Rescoms se convirtió en la familia de malware más frecuente empaquetada por AceCryptor”, dijo la firma de ciberseguridad, citando datos de telemetría. “Más de la mitad de estos intentos ocurrieron en Polonia, seguida de Serbia, España, Bulgaria y Eslovaquia”.
Otro malware comercial destacado incluido en AceCryptor en el segundo semestre de 2023 incluye SmokeLoader, STOP ransomware, RanumBot, Vidar, RedLine, Tofsee, Fareit, Pitou y Stealc. Vale la pena señalar que muchas de estas cepas de malware también se han difundido a través de PrivateLoader.
Se ha descubierto que otra estafa de ingeniería social observada por la Unidad Contra Amenazas (CTU) de Secureworks se dirige a personas que buscan información sobre personas fallecidas recientemente en motores de búsqueda con avisos obituarios falsos alojados en sitios web falsos, lo que dirige el tráfico a los sitios a través del envenenamiento por optimización de motores de búsqueda (SEO). para, en última instancia, impulsar el adware y otros programas no deseados.
“Los visitantes de estos sitios son redirigidos a sitios web de citas electrónicas o entretenimiento para adultos o se les presentan inmediatamente mensajes CAPTCHA que instalan notificaciones web push o anuncios emergentes cuando se hace clic”, dijo la compañía.
“Las notificaciones muestran advertencias falsas de alerta de virus de aplicaciones antivirus conocidas como McAfee y Windows Defender, y persisten en el navegador incluso si la víctima hace clic en uno de los botones”.
“Los botones enlazan a páginas de inicio legítimas para programas de software antivirus basados en suscripción, y una identificación de afiliado incrustada en el hipervínculo recompensa a los actores de amenazas por nuevas suscripciones o renovaciones”.
Si bien la actividad actualmente se limita a llenar las arcas de los estafadores a través de programas de afiliados, las cadenas de ataque podrían reutilizarse fácilmente para generar ladrones de información y otros programas maliciosos.
El desarrollo también sigue al descubrimiento de un nuevo grupo de actividades rastreado como Fluffy Wolf que aprovecha los correos electrónicos de phishing que contienen un archivo adjunto ejecutable para entregar un cóctel de amenazas, como MetaStealer, Warzone RAT, XMRig miner y una herramienta legítima de escritorio remoto llamada Remote Utilities.
La campaña es una señal de que incluso los actores de amenazas no capacitados pueden aprovechar los esquemas de malware como servicio (MaaS) para llevar a cabo ataques exitosos a escala y saquear información confidencial, que luego puede monetizarse aún más para obtener ganancias.
“Aunque son mediocres en términos de habilidades técnicas, estos actores de amenazas logran sus objetivos utilizando sólo dos conjuntos de herramientas: servicios legítimos de acceso remoto y malware económico”, dijo BI.ZONE.
Fuente Original The Hacker News
