Los investigadores de seguridad han descubierto una importante campaña internacional de ciberespionaje que ya ha afectado a más de 70 organizaciones en 18 sectores verticales. Proofpoint dijo que una cuarta parte de las víctimas son compañías de seguros, y que la industria aeroespacial, el transporte y las universidades representan aproximadamente la misma proporción. A partir del 5 de agosto de 2024, la campaña ha visto al menos 20.000 correos electrónicos de phishing enviados a las víctimas, pretendiendo provenir de las autoridades fiscales locales. Al parecer, los señuelos personalizados en el idioma local estaban escritos en inglés (EE. UU./Reino Unido), francés, alemán, italiano, indio y japonés. Se anima a las víctimas a hacer clic en enlaces maliciosos en el correo electrónico y luego a abrir un archivo search-ms. Si lo hacen, y después de varios pasos más en la cadena de ataque, un script cargará un ejecutable legítimo de Cisco WebEx y una DLL maliciosa (CiscoSparkLauncher.dll) que utiliza la carga lateral de DLL para instalar la puerta trasera «Voldemort». «Voldemort es una puerta trasera personalizada escrita en C», escribió Proofpoint. “Tiene capacidades para recopilar información y lanzar cargas útiles adicionales. Proofpoint observó que Cobalt Strike estaba alojado en la infraestructura del actor, y es probable que sea una de las cargas útiles que se entregarían”. Lea más sobre el nuevo malware: El nuevo malware JSOutProx apunta a empresas financieras en APAC, MENA El malware inusualmente no tiene un servidor de comando y control (C2) dedicado asociado a él, sino que utiliza la infraestructura de Google Sheets para C2, exfiltración de datos y ejecución de comandos de los operadores. Proofpoint afirmó que no ha podido atribuir la campaña a ningún grupo específico, y señaló que su “amalgama frankensteiniana de capacidades inteligentes y sofisticadas, combinadas con técnicas y funcionalidades muy básicas” dificulta la evaluación de las capacidades del actor y los objetivos finales de su campaña. “Curiosamente, el actor utilizó múltiples técnicas que se están volviendo más populares en el panorama del cibercrimen, lo que, además del volumen y la focalización que también está más alineado con las campañas de ecrime, es inusual”, agregó. “Si bien los señuelos de la campaña son más típicos de un actor de amenazas criminales, las características incluidas en la puerta trasera son más similares a las que se encuentran típicamente en las herramientas utilizadas para el espionaje”.