16 de abril de 2024Sala de prensaInteligencia de amenazas/Seguridad de terminales y XWorm, entre otros. «El grupo hizo un uso extensivo de la esteganografía enviando VBS, código PowerShell, así como documentos RTF con un exploit integrado, imágenes internas y archivos de texto», dijo la empresa rusa de ciberseguridad Positive Technologies en un informe del lunes. La campaña recibió el nombre en código SteganoAmor por su dependencia de la esteganografía y la elección de nombres de archivos como greatloverstory.vbs y easytolove.vbs. La mayoría de los ataques se han dirigido a sectores industriales, de servicios, públicos, de energía eléctrica y de construcción en países latinoamericanos, aunque también se han señalado empresas ubicadas en Rusia, Rumania y Turquía. El desarrollo se produce cuando también se ha detectado que TA558 implementa Venom RAT a través de ataques de phishing dirigidos a empresas ubicadas en España, México, Estados Unidos, Colombia, Portugal, Brasil, República Dominicana y Argentina. Todo comienza con un correo electrónico de phishing que contiene un archivo adjunto de Microsoft Excel con trampa explosiva que explota una falla de seguridad ahora parcheada en el Editor de ecuaciones (CVE-2017-11882) para descargar un script de Visual Basic que, a su vez, recupera la siguiente etapa. carga útil de pasta[.]ee. El código malicioso ofuscado se encarga de descargar dos imágenes de una URL externa que viene integrada con un componente codificado en Base64 que finalmente recupera y ejecuta el malware Agent Tesla en el host comprometido. Más allá del Agente Tesla, otras variantes de la cadena de ataque han dado lugar a una variedad de malware como FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger y XWorm, que están diseñados para acceso remoto, robo de datos y entrega de cargas útiles secundarias. Los correos electrónicos de phishing se envían desde servidores SMTP legítimos pero comprometidos para dar un poco de credibilidad a los mensajes y minimizar las posibilidades de que sean bloqueados por puertas de enlace de correo electrónico. Además, se ha descubierto que TA558 utiliza servidores FTP infectados para almacenar los datos robados. La divulgación se produce en el contexto de una serie de ataques de phishing dirigidos a organizaciones gubernamentales en Rusia, Bielorrusia, Kazajstán, Uzbekistán, Kirguistán, Tayikistán y Armenia con un malware denominado LazyStealer para recopilar credenciales de Google Chrome. Positive Technologies está rastreando el grupo de actividad bajo el nombre Lazy Koala en referencia al nombre del usuario (joekoala), quien se dice que controla los bots de Telegram que reciben los datos robados. Dicho esto, la geografía de la víctima y los artefactos de malware indican vínculos potenciales con otro grupo de piratas informáticos rastreado por Cisco Talos con el nombre de YoroTrooper (también conocido como SturgeonPhisher). «La herramienta principal del grupo es un ladrón primitivo, cuya protección ayuda a evadir la detección, ralentizar el análisis, capturar todos los datos robados y enviarlos a Telegram, que cada año gana popularidad entre los actores maliciosos», dijo el investigador de seguridad Vladislav Lunin. dicho. Los hallazgos también siguen a una ola de campañas de ingeniería social diseñadas para propagar familias de malware como FatalRAT y SolarMarker. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.