Un malware no documentado anteriormente llamado SambaSpy está atacando exclusivamente a usuarios en Italia a través de una campaña de phishing orquestada por un supuesto actor de amenazas de habla portuguesa brasileña. «Los actores de amenazas generalmente intentan lanzar una red amplia para maximizar sus ganancias, pero estos atacantes se centran en un solo país», dijo Kaspersky en un nuevo análisis. «Es probable que los atacantes estén tanteando el terreno con los usuarios italianos antes de expandir su operación a otros países». El punto de partida del ataque es un correo electrónico de phishing que incluye un archivo adjunto en HTML o un enlace incrustado que inicia el proceso de infección. Si se abre el archivo adjunto en HTML, se utiliza un archivo ZIP que contiene un descargador o un dropper provisional para implementar y ejecutar la carga útil del RAT multifuncional. El descargador, por su parte, es responsable de obtener el malware de un servidor remoto. El dropper, por otro lado, hace lo mismo, pero extrae la carga útil del archivo en lugar de recuperarlo de una ubicación externa. La segunda cadena de infección con el enlace trampa es mucho más elaborada, ya que al hacer clic en él se redirige al usuario a una factura legítima alojada en FattureInCloud si no es el objetivo previsto. En un escenario alternativo, al hacer clic en la misma URL, la víctima es redirigida a un servidor web malicioso que ofrece una página HTML con código JavaScript que presenta comentarios escritos en portugués brasileño. «Redirige a los usuarios a una URL maliciosa de OneDrive, pero solo si están ejecutando Edge, Firefox o Chrome con su idioma configurado en italiano», dijo el proveedor de ciberseguridad ruso. «Si los usuarios no pasan estas comprobaciones, permanecen en la página». A los usuarios que cumplen estos requisitos se les ofrece un documento PDF alojado en Microsoft OneDrive que les indica que hagan clic en un hipervínculo para ver el documento, después de lo cual se les dirige a un archivo JAR malicioso alojado en MediaFire que contiene el descargador o el dropper como antes. SambaSpy, un troyano de acceso remoto con todas las funciones desarrollado en Java, es nada menos que una navaja suiza que puede manejar la administración del sistema de archivos, la administración de procesos, la administración de escritorio remoto, la carga y descarga de archivos, el control de la cámara web, el registro de teclas y el seguimiento del portapapeles, la captura de pantalla y el shell remoto. También está equipado para cargar complementos adicionales en tiempo de ejecución lanzando un archivo en el disco previamente descargado por el RAT, lo que le permite aumentar sus capacidades según sea necesario. Además de eso, está diseñado para robar credenciales de navegadores web como Chrome, Edge, Opera, Brave, Iridium y Vivaldi. La evidencia de la infraestructura sugiere que el actor de amenazas detrás de la campaña también está poniendo sus miras en Brasil y España, lo que apunta a una expansión operativa. «Hay varias conexiones con Brasil, como artefactos de idioma en el código y dominios que apuntan a usuarios brasileños», dijo Kaspersky. «Esto se alinea con el hecho de que los atacantes de América Latina a menudo apuntan a países europeos con idiomas estrechamente relacionados, a saber, Italia, España y Portugal». Nuevas campañas de BBTok y Mekotio dirigidas a América Latina El desarrollo llega semanas después de que Trend Micro advirtiera sobre un aumento en las campañas que distribuyen troyanos bancarios como BBTok, Grandoreiro y Mekotio dirigidas a la región de América Latina a través de estafas de phishing que utilizan transacciones comerciales y transacciones judiciales como señuelos. Mekotio «emplea una nueva técnica en la que el script PowerShell del troyano ahora está ofuscado, mejorando su capacidad para evadir la detección», dijo la compañía, destacando el uso de BBTok de enlaces de phishing para descargar archivos ZIP o ISO que contienen archivos LNK que actúan como un punto de activación para las infecciones. El archivo LNK se utiliza para avanzar al siguiente paso lanzando el binario legítimo MSBuild.exe, que está presente dentro del archivo ISO. Posteriormente carga un archivo XML malicioso también oculto dentro del archivo ISO, que luego aprovecha rundll32.exe para lanzar la carga útil DLL de BBTok. «Al usar la utilidad legítima de Windows MSBuild.exe, los atacantes pueden ejecutar su código malicioso mientras evaden la detección», señaló Trend Micro. Las cadenas de ataque asociadas con Mekotio comienzan con una URL maliciosa en el correo electrónico de phishing que, al hacer clic, dirige al usuario a un sitio web falso que entrega un archivo ZIP, que contiene un archivo por lotes diseñado para ejecutar un script de PowerShell. El script de PowerShell actúa como un descargador de segunda etapa para lanzar el troyano por medio de un script de AutoHotKey, pero no antes de realizar un reconocimiento del entorno de la víctima para confirmar que efectivamente se encuentra en uno de los países objetivo. «Las estafas de phishing más sofisticadas dirigidas a usuarios latinoamericanos para robar credenciales bancarias confidenciales y realizar transacciones bancarias no autorizadas subrayan la necesidad urgente de mejorar las medidas de ciberseguridad contra los métodos cada vez más avanzados empleados por los cibercriminales», dijeron los investigadores de Trend Micro. «Estos troyanos [have] «Los grupos criminales se han vuelto cada vez más hábiles para evadir la detección y robar información confidencial, mientras que las bandas que están detrás de ellos se vuelven más audaces a la hora de atacar a grupos más grandes para obtener más ganancias». ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Deja una respuesta