14 de agosto de 2024Ravie LakshmananMalware / Seguridad de redes Una campaña de ingeniería social en curso con presuntos vínculos con el grupo de ransomware Black Basta se ha relacionado con «múltiples intentos de intrusión» con el objetivo de realizar un robo de credenciales e implementar un gotero de malware llamado SystemBC. «El señuelo inicial que utilizan los actores de la amenaza sigue siendo el mismo: una bomba de correo electrónico seguida de un intento de llamar a los usuarios afectados y ofrecer una solución falsa», dijo Rapid7, y agregó que «las llamadas externas generalmente se realizaban a los usuarios afectados a través de Microsoft Teams». Luego, la cadena de ataque convence al usuario de descargar e instalar un software de acceso remoto legítimo llamado AnyDesk, que actúa como un canal para implementar cargas útiles de seguimiento y exfiltrar datos confidenciales. Esto incluye el uso de un ejecutable llamado «AntiSpam.exe» que pretende descargar filtros de correo no deseado e insta a los usuarios a ingresar sus credenciales de Windows para completar la actualización. El paso es seguido por la ejecución de varios binarios, archivos DLL y scripts de PowerShell, que incluyen una baliza HTTP basada en Golang que establece contacto con un servidor remoto, un proxy SOCKS y SystemBC. Para mitigar el riesgo que supone la amenaza, se recomienda bloquear todas las soluciones de escritorio remoto no aprobadas y estar atento a llamadas telefónicas y mensajes de texto sospechosos que pretendan ser de personal de TI interno. La revelación se produce cuando SocGholish (también conocido como FakeUpdates), GootLoader y Raspberry Robin han surgido como las cepas de cargadores más comúnmente observadas en 2024, que luego actúan como un trampolín para el ransomware, según datos de ReliaQuest. «GootLoader es nuevo en la lista de los tres primeros este año, reemplazando a QakBot a medida que su actividad disminuye», dijo la empresa de ciberseguridad. «Los cargadores de malware se anuncian con frecuencia en foros de cibercriminales de la red oscura, como XSS y Exploit, donde se comercializan a los cibercriminales que buscan facilitar las intrusiones en la red y la entrega de cargas útiles. Estos cargadores a menudo se ofrecen a través de modelos de suscripción, con tarifas mensuales que otorgan acceso a actualizaciones periódicas, soporte y nuevas funciones diseñadas para evadir la detección». Una ventaja de este enfoque basado en suscripción es que permite que incluso los actores de amenazas con conocimientos técnicos limitados organicen ataques sofisticados. También se han observado ataques de phishing que distribuyen un malware ladrón de información conocido como 0bj3ctivity Stealer por medio de otro cargador llamado Ande Loader como parte de un mecanismo de distribución de varias capas. «La distribución del malware a través de scripts ofuscados y cifrados, técnicas de inyección de memoria y la mejora continua de Ande Loader con funciones como antidepuración y ofuscación de cadenas subrayan la necesidad de mecanismos de detección avanzados y una investigación continua», dijo eSentire. Estas campañas son solo las últimas de una serie de ataques de phishing e ingeniería social que se han descubierto en las últimas semanas, incluso cuando los actores de amenazas están utilizando cada vez más códigos QR falsos con fines maliciosos: una campaña ClearFake que aprovecha las páginas web comprometidas para difundir malware .NET con el pretexto de descargar una actualización de Google Chrome. Una campaña que utiliza sitios web falsos que se hacen pasar por HSBC, Santander, Virgin Money y Wise para entregar una copia del software AnyDesk Remote Monitoring and Management (RMM) a los usuarios de Windows y macOS, que luego se utiliza para robar datos confidenciales. Un sitio web falso («win-rar[.]co») aparentemente distribuye WinRAR que se usa para implementar ransomware, minero de criptomonedas y ladrón de información llamado Kematian Stealer que se alojan en GitHub Una campaña de publicidad maliciosa en las redes sociales que secuestra páginas de Facebook para promover un sitio web de edición de fotos de inteligencia artificial (IA) aparentemente legítimo a través de anuncios pagos que atraen a las víctimas para que descarguen la herramienta RMM de ITarian y la usen para entregar Lumma Stealer «El hecho de apuntar a los usuarios de las redes sociales para actividades maliciosas resalta la importancia de contar con medidas de seguridad sólidas para proteger las credenciales de las cuentas y evitar el acceso no autorizado», dijeron los investigadores de Trend Micro. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.