ESET Research Los investigadores de ESET detectaron múltiples campañas de phishing generalizadas dirigidas a pymes en Polonia durante mayo de 2024, que distribuían varias familias de malware 30 Jul 2024 • , 8 min. de lectura Hace solo unos meses, ESET Research publicó una publicación de blog sobre campañas masivas de phishing en Europa Central y Oriental llevadas a cabo durante la segunda mitad de 2023. En esas campañas, el malware Rescoms (también conocido como Remcos), protegido por AceCryptor, se entregó a víctimas potenciales con el objetivo de robar credenciales y obtener un posible acceso inicial a las redes de la empresa. Las campañas de phishing dirigidas a la región no se detuvieron en 2024. En esta publicación de blog presentamos cómo fueron las campañas de phishing recientes y cómo la elección del mecanismo de entrega pasó de AceCryptor a ModiLoader. Puntos clave de esta publicación de blog: ESET detectó nueve campañas de phishing notables de ModiLoader durante mayo de 2024 en Polonia, Rumania e Italia. Estas campañas se dirigieron a pequeñas y medianas empresas. Siete de las campañas se dirigieron a Polonia, donde los productos de ESET protegieron a más de 21.000 usuarios. Los atacantes implementaron tres familias de malware a través de ModiLoader: Rescoms, Agent Tesla y Formbook. Los atacantes utilizaron cuentas de correo electrónico y servidores de la empresa previamente comprometidos, no solo para difundir correos electrónicos maliciosos, sino también para alojar malware y recopilar datos robados. Resumen Aunque las campañas de phishing han estado en curso durante la primera mitad de 2024, esta publicación del blog se centra solo en mayo de 2024, ya que fue un mes lleno de acontecimientos. Durante este período, los productos de ESET protegieron a más de 26.000 usuarios, más de 21.000 (80%) de los cuales estaban en Polonia. Además de Polonia, donde se encontraban más del 80% de las víctimas potenciales, Italia y Rumanía también fueron el objetivo de las campañas de phishing. En total, registramos nueve campañas de phishing, siete de las cuales tenían como objetivo a Polonia durante el mes de mayo, como se puede ver en la Figura 1. Figura 1. Impactos de las campañas de phishing de ModiLoader en Polonia durante mayo de 2024 En comparación con las campañas que tuvieron lugar a finales de 2023, vemos un cambio en el uso de AceCryptor como herramienta de elección para proteger y entregar con éxito el malware. En cambio, en las nueve campañas, los atacantes utilizaron ModiLoader (también conocido como DBatLoader) como la herramienta de entrega preferida. La carga útil final que se entregó y lanzó en las máquinas comprometidas varió; hemos detectado campañas que entregaban: Formbook: malware que roba información descubierto en 2016, Agent Tesla: un troyano de acceso remoto y ladrón de información, y Rescoms RAT: software de vigilancia y control remoto, capaz de robar información confidencial. Campañas En general, todas las campañas siguieron un escenario similar. La empresa objetivo recibió un mensaje de correo electrónico con una oferta comercial que podría ser tan simple como «Proporcione su mejor oferta de precio para el número de pedido adjunto. 2405073”, como se puede ver en la Figura 2. Figura 2. Ejemplo de un correo electrónico de phishing que contiene ModiLoader en el archivo adjunto En otras campañas, los mensajes de correo electrónico fueron más detallados, como el correo electrónico de phishing en la Figura 3, que se puede traducir de la siguiente manera: Hola, buscamos comprar su producto para nuestro cliente. Encuentre la consulta adjunta para el primer paso de esta compra. La hoja adjunta contiene precios objetivo para la mayoría de los productos. Destaqué 10 elementos para enfocarnos en el precio; el resto de los elementos son opcionales para fijar el precio (aplicaremos un nivel de precio similar en función de otros precios). Contácteme antes del 28/05/2024 Si necesita más tiempo, infórmeme cuánto necesitará. Si tiene alguna pregunta, también infórmeme. Figura 3. Un ejemplo de correo electrónico de phishing más detallado que contiene ModiLoader en el archivo adjunto Al igual que en las campañas de phishing del segundo semestre de 2023, los atacantes se hicieron pasar por empresas existentes y sus empleados como técnica de elección para aumentar la tasa de éxito de la campaña. De esta manera, incluso si la víctima potencial buscaba las señales de alerta habituales (aparte de los posibles errores de traducción), simplemente no estaban allí, y el correo electrónico parecía tan legítimo como podría haber sido. Dentro de los archivos adjuntos Los correos electrónicos de todas las campañas contenían un archivo adjunto malicioso que la víctima potencial tenía incentivos para abrir, según el texto del correo electrónico. Estos archivos adjuntos tenían nombres como RFQ8219000045320004.tar (como en Solicitud de cotización) o ZAMÓWIENIE_NR.2405073.IMG (traducción: ORDER_NO) y el archivo en sí era un archivo ISO o un archivo comprimido. En las campañas en las que se enviaba un archivo ISO como archivo adjunto, el contenido era el ejecutable ModiLoader (con un nombre similar o igual al del archivo ISO) que se iniciaría si una víctima intentara abrir el ejecutable. En el otro caso, cuando se envió un archivo RAR como adjunto, el contenido era un script por lotes muy ofuscado, con el mismo nombre que el archivo y con la extensión de archivo .cmd. Este archivo también contenía un ejecutable ModiLoader codificado en base64, disfrazado como una lista de revocación de certificados codificada en PEM. El script es responsable de decodificar y ejecutar el ModiLoader integrado (Figura 4). Figura 4. Archivo con extensión .cmd que contiene un script por lotes muy ofuscado (arriba) que decodifica el binario ModiLoader codificado en base64 (abajo) Cuando se inicia ModiLoader ModiLoader es un descargador de Delphi con una tarea simple: descargar y ejecutar malware. En dos de las campañas, las muestras de ModiLoader se configuraron para descargar el malware de la siguiente etapa desde un servidor comprometido que pertenece a una empresa húngara. En el resto de las campañas, ModiLoader descargó la siguiente etapa desde el almacenamiento en la nube OneDrive de Microsoft. Observamos cuatro cuentas donde se alojó malware de segunda etapa. Toda la cadena de compromiso desde la recepción del correo electrónico malicioso hasta el lanzamiento de la carga útil final se resume en la Figura 5. Figura 5. Cadena de compromiso de las campañas de phishing de ModiLoader en Polonia durante mayo de 2024 Exfiltración de datos Se utilizaron tres familias de malware diferentes como carga útil final: Agent Tesla, Rescoms y Formbook. Todas estas familias son capaces de robar información y, por lo tanto, permiten a los atacantes no solo ampliar sus conjuntos de datos de información robada, sino también preparar el terreno para sus próximas campañas. Aunque los mecanismos de exfiltración difieren entre las familias de malware y las campañas, vale la pena mencionar dos ejemplos de estos mecanismos. En una campaña, la información se exfiltró a través de SMTP a una dirección utilizando un dominio similar al de una empresa alemana. Tenga en cuenta que el typosquatting fue una técnica popular utilizada en las campañas de Rescoms desde finales del año pasado. Estas campañas más antiguas usaban dominios typosquatted para enviar correos electrónicos de phishing. Una de las nuevas campañas utilizó un dominio typosquatted para exfiltrar datos. Cuando alguien intentaba visitar páginas web de este dominio typosquatting, se le redirigía inmediatamente a la página web de la empresa legítima (suplantada). En otra campaña, vimos que se filtraban datos a un servidor web de una casa de huéspedes ubicada en Rumania (un país que ha sido blanco de este tipo de campañas en el pasado y ahora). En este caso, el servidor web parece legítimo (por lo que no se trata de typosquatting) y creemos que el servidor del alojamiento había sido comprometido durante campañas anteriores y se había utilizado de forma indebida para actividades maliciosas. Conclusión Las campañas de phishing dirigidas a pequeñas y medianas empresas de Europa central y oriental siguen siendo fuertes en la primera mitad de 2024. Además, los atacantes se aprovechan de ataques exitosos anteriores y utilizan activamente cuentas o máquinas comprometidas para seguir propagando malware o recopilar información robada. Solo en mayo, ESET detectó nueve campañas de phishing de ModiLoader, e incluso más fuera de este período de tiempo. A diferencia de la segunda mitad de 2023, cuando Rescoms empaquetado por AceCryptor era el malware preferido de los atacantes, no dudaron en cambiar el malware que usan para tener más éxito. Como presentamos, hay muchas otras familias de malware como ModiLoader o Agent Tesla en el arsenal de estos atacantes, listas para ser utilizadas. Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, contáctenos en threatintel@eset.com. ESET Research ofrece informes de inteligencia APT privados y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de Inteligencia de Amenazas de ESET. Indicadores de compromiso (IoC) Puede encontrar una lista completa de indicadores de compromiso (IoC) en nuestro repositorio de GitHub. Archivos SHA-1 Nombre de archivo Detección Descripción E7065EF6D0CF45443DEF30D3A3A35FD7300C4A56 doc023561361500.img Win32/TrojanDownloader.ModiLoader.ACM Archivo adjunto malicioso de una campaña de phishing llevada a cabo en Polonia durante mayo de 2024. 31672B52259B4D514E68DA5D199225FCFA72352B doc023561361500__079422732__202410502__000023.pdf.exe Win32/TrojanDownloader.ModiLoader.ACM Ejecutable ModiLoader de la campaña de phishing llevada a cabo en Polonia durante mayo de 2024. B71070F9ADB17C942CB692566E6020ACCA93726A N/A MSIL/Spy.Agent.CVT Ejecutable de Agent Tesla de la campaña de phishing llevada a cabo en Polonia durante mayo de 2024. D7561594C7478C4FE37C26684005268EB582E13B ZAMÓWIENIE_NR.2405073.IMG Win32/TrojanDownloader.ModiLoader.ACR Archivo adjunto malicioso de la campaña de phishing llevada a cabo en Polonia durante mayo de 2024. 47AF4CFC9B250AC4AE8CDD0A2D2304D7CF60AACE ZAMÓWIENIE_NR.2405073.exe Win32/TrojanDownloader.ModiLoader.ACR ModiLoader ejecutable de una campaña de phishing llevada a cabo en Polonia durante mayo de 2024. 2963AF32AB4D497CB41FC85E54A9E5312D28BCDE N/A Win32/Formbook.AA Ejecutable de Formbook de una campaña de phishing llevada a cabo en Polonia durante mayo de 2024. 5DAB001A2025AA91D278163F39E7504004354F01 RFQ8219000045320004.tar Win32/TrojanDownloader.ModiLoader.ACP.Gen Archivo adjunto malicioso de una campaña de phishing llevada a cabo en Polonia durante mayo de 2024. D88B10E4FD487BFCCA6A711A9E33BB153674C757 RFQ8219000045320004.cmd Win32/TrojanDownloader.ModiLoader.ACP.Gen Script por lotes malicioso de una campaña de phishing llevada a cabo en Polonia durante mayo de 2024. F0295F2E46CEBFFAF7892A5B33BA54122781C20B N/A Win32/TrojanDownloader.ModiLoader.ADB Ejecutable de ModiLoader de una campaña de phishing llevada a cabo en Polonia durante mayo de 2024. 3C0A0EC8FE9EB3E5DAB2018E94CEB4E29FD8DD33 N/A Win32/Rescoms.B Ejecutable de Rescoms de una campaña de phishing llevada a cabo en Polonia durante mayo de 2024. 9B5AF677E565FFD4B15DEE283D46C2E60E1E31D8 DOCUMENT_BT24PDF.IMG Win32/TrojanDownloader.ModiLoader.ADB Archivo adjunto malicioso de una campaña de phishing realizada en Rumanía durante mayo de 2024. 738CFBE52CFF57098818857930A7C1CF01DB0519 DOCUMENT_BT24PDF.exe Win32/TrojanDownloader.ModiLoader.ADB Ejecutable de ModiLoader de una campaña de phishing realizada en Rumanía durante mayo de 2024. 843CE8848BCEEEF16D07041A97417882DBACB93F N/A Win32/Formbook.AA Ejecutable de Formbook de una campaña de phishing realizada en Rumanía durante mayo de 2024.2024. Técnicas de MITRE ATT&CK Esta tabla se creó utilizando la versión 15 del marco MITRE ATT&CK. Identificación de táctica Nombre Descripción Reconocimiento T1589.002 Recopilar información de identidad de la víctima: direcciones de correo electrónico Las direcciones de correo electrónico y la información de contacto (compradas o recopiladas de fuentes disponibles públicamente) se usaron en campañas de phishing para dirigirse a empresas en varios países. Desarrollo de recursos T1586.002 Cuentas comprometidas: cuentas de correo electrónico Los atacantes usaron cuentas de correo electrónico comprometidas para enviar correos electrónicos maliciosos en campañas de phishing para aumentar la credibilidad de sus correos electrónicos de phishing. T1588.001 Obtener capacidades: malware Los atacantes compraron licencias y usaron múltiples familias de malware para campañas de phishing. T1583.006 Adquirir infraestructura: servicios web Los atacantes usaron Microsoft OneDrive para alojar malware. T1584.004 Infraestructura comprometida: servidor Los atacantes usaron servidores previamente comprometidos para alojar malware y almacenar información robada. Acceso inicial T1566 Phishing Los atacantes utilizaron mensajes de phishing con archivos adjuntos maliciosos para comprometer computadoras y robar información de empresas en varios países europeos. T1566.001 Phishing: archivo adjunto de phishing selectivo Los atacantes utilizaron mensajes de phishing selectivo para comprometer computadoras y robar información de empresas en varios países europeos. Ejecución T1204.002 Ejecución del usuario: archivo malicioso Los atacantes dependían de que los usuarios abrieran archivos que contenían malware y lanzaran un ejecutable de ModiLoader. Acceso a credenciales T1555.003 Credenciales de almacenes de contraseñas: credenciales de navegadores web Los atacantes intentaron robar información de credenciales de navegadores y clientes de correo electrónico.