02 de agosto de 2024Ravie LakshmananEspionaje cibernético / Malware Un actor de amenazas vinculado a Rusia ha sido vinculado a una nueva campaña que utilizó un automóvil en venta como señuelo de phishing para entregar una puerta trasera modular de Windows llamada HeadLace. «La campaña probablemente estaba dirigida a diplomáticos y comenzó ya en marzo de 2024», dijo la Unidad 42 de Palo Alto Networks en un informe publicado hoy, atribuyéndola con un nivel de confianza medio a alto a APT28, que también se conoce como BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy y TA422. Cabe señalar que los temas de señuelo de phishing de venta de automóviles han sido utilizados anteriormente por un grupo de estado-nación ruso diferente llamado APT29 desde julio de 2023, lo que indica que APT28 está reutilizando tácticas exitosas para sus propias campañas. A principios de mayo, el actor de amenazas estuvo implicado en una serie de campañas dirigidas a redes en toda Europa con el malware HeadLace y páginas web de recolección de credenciales. Los ataques se caracterizan por el uso de un servicio legítimo conocido como webhook[.]El sitio web de APT28, un sello distintivo de las operaciones cibernéticas de APT28 junto con Mocky, aloja una página HTML maliciosa que primero verifica si la máquina de destino está funcionando con Windows y, de ser así, ofrece un archivo ZIP para descargar («IMG-387470302099.zip»). Si el sistema no está basado en Windows, redirecciona a una imagen señuelo alojada en ImgBB, específicamente un SUV Audi Q7 Quattro. Dentro del archivo hay tres archivos: el ejecutable legítimo de la calculadora de Windows que se hace pasar por un archivo de imagen («IMG-387470302099.jpg.exe»), una DLL («WindowsCodecs.dll») y un script por lotes («zqtxmo.bat»). El binario de la calculadora se usa para cargar la DLL maliciosa, un componente de la puerta trasera HeadLace que está diseñado para ejecutar el script por lotes, que, a su vez, ejecuta un comando codificado en Base64 para recuperar un archivo de otro webhook.[.]URL del sitio. Este archivo se guarda como «IMG387470302099.jpg» en la carpeta de descargas de los usuarios y se le cambia el nombre a «IMG387470302099.cmd» antes de ejecutarlo, después de lo cual se elimina para borrar los rastros de cualquier actividad maliciosa. «Si bien la infraestructura utilizada por Fighting Ursa varía para las diferentes campañas de ataque, el grupo con frecuencia depende de estos servicios disponibles de forma gratuita», dijo Unit 42. «Además, las tácticas de esta campaña encajan con las campañas de Fighting Ursa documentadas anteriormente, y la puerta trasera HeadLace es exclusiva de este actor de amenazas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.