Los analistas de amenazas han descubierto un nuevo y sofisticado ataque de phishing que incluye un malware oculto que roba información y que filtra una amplia gama de datos confidenciales. Este malware no solo se dirige a los tipos de datos tradicionales, como las contraseñas guardadas, sino que también incluye cookies de sesión, información de tarjetas de crédito, extensiones relacionadas con Bitcoin e historial de navegación. Los datos recopilados se envían luego como un archivo adjunto comprimido a una cuenta de correo electrónico remota, lo que destaca un cambio significativo en las capacidades del robo de información. Metodología del ataque Según un aviso publicado por Barracuda Networks, el ataque comienza con un correo electrónico de phishing que incita a los destinatarios a abrir un archivo adjunto de orden de compra. Estos correos electrónicos, caracterizados por errores gramaticales, aparecen desde una dirección falsa. El archivo adjunto contiene un archivo de imagen de disco ISO, una réplica precisa de los datos de discos ópticos como CD o DVD. Dentro de este archivo de imagen se encuentra incrustado un archivo HTA (aplicación HTML), que permite la ejecución de aplicaciones en el escritorio sin las limitaciones de seguridad de un navegador. Al ejecutar el archivo HTA, se activa una secuencia de cargas útiles maliciosas. Esta secuencia comienza con la descarga y ejecución de un archivo JavaScript ofuscado desde un servidor remoto, que luego activa un archivo PowerShell que recupera un archivo ZIP del mismo servidor. El archivo ZIP contiene un malware infostealer basado en Python. Este malware opera brevemente para recopilar datos y luego elimina todos los archivos, incluido él mismo, para evitar ser detectado. Capacidades del malware y exfiltración de datos El infostealer está diseñado para recopilar información y archivos completos del navegador. Extrae MasterKeys de navegadores como Chrome, Edge, Yandex y Brave, y captura cookies de sesión, contraseñas guardadas, información de tarjetas de crédito e historiales del navegador. Además, el malware copia datos de extensiones de navegador relacionadas con Bitcoin, incluidas MetaMask y Coinbase Wallet. El malware se dirige a archivos PDF y comprime directorios completos, incluidos los de Escritorio, Descargas, Documentos y carpetas %AppData% específicas. Luego, los datos robados se envían por correo electrónico a varias direcciones en el dominio maternamedical.top, cada una designada para tipos específicos de información como cookies, archivos PDF y extensiones del navegador. Lea más sobre las amenazas de ciberseguridad para las empresas: Las cadenas de suministro siguen siendo una amenaza oculta para las empresas Implicaciones para la ciberseguridad Según Barracuda, este ataque representa una nueva frontera en las amenazas de exfiltración de datos, ya que la amplia gama de capacidades de recopilación de datos del malware plantea graves riesgos. «La mayoría de los ataques de phishing están asociados con el robo de datos, pero aquí estamos viendo un ataque diseñado para una exfiltración de datos extensa ejecutada por un ladrón de información sofisticado», dijo Saravanan Mohan, gerente de análisis de amenazas en Barracuda. ​​»La cantidad y el rango de información confidencial que se puede tomar es amplio. Algunos pueden aprovecharse potencialmente en otras actividades maliciosas, como el movimiento lateral o el fraude financiero. A medida que los ciberdelincuentes continúan desarrollando métodos sofisticados para robar información crítica, es importante que las empresas se mantengan vigilantes y proactivas en sus esfuerzos de ciberseguridad». Las estrategias clave recomendadas por la firma incluyen la implementación de protocolos de seguridad sólidos, el monitoreo continuo de actividades sospechosas y la educación de los empleados sobre amenazas potenciales. Las soluciones de protección de correo electrónico de múltiples capas que utilizan inteligencia artificial y aprendizaje automático también son útiles para detectar y bloquear dichos intentos de phishing antes de que lleguen a las bandejas de entrada de los usuarios.