Alerta de phishing de facturas: TA866 implementa Malware WasabiSeed y Screenshotter
El actor de amenazas rastreado como TA866 ha resurgido después de una pausa de nueve meses. Lo hace con una nueva campaña de phishing de facturas de gran volumen. Con ellabusca entregar familias de malware conocidas como WasabiSeed y Screenshotter.
La campaña fue observada a principios de este mes y bloqueada por Proofpoint el 11 de enero de 2024. Involucró el envío de miles de correos electrónicos con temas de facturas dirigidos a América del Norte con archivos PDF de señuelo.
«Los PDFs contenían URLs OneDrive que, si se hace clic, inicia una cadena de infección de varios pasos que finalmente lleva a la carga útil de malware, una variante del conjunto de herramientas personalizadas WasabiSeed y Screenshotter», dijo la empresa de seguridad empresarial.
TA866 fue documentado por primera vez por la compañía en febrero de 2023 Lo atribuyó a una campaña llamada Screentime que distribuyó WasabiSeed. Este era un gotero de script Visual Basic que se utiliza para descargar Screenshotter. Este código es capaz de tomar capturas de pantalla del escritorio de la víctima a intervalos regulares de tiempo y filtrar esos datos a un dominio controlado por actores.
Hay evidencia que sugiere que el malware puede estar motivado financieramente. Esto es debido al hecho de que Screenshotter actúa como una herramienta de reconocimiento para identificar objetivos de alto valor para la post-explotación, y desplegar un AutoHotKey (AHK)-basado en bot para finalmente dejar caer el ladrón de información Rhadamanthys.
Hallazgos posteriores de la firma eslovaca de ciberseguridad ESET en junio de 2023 descubrieron solapamientos entre Screentime y otro conjunto de intrusión denominado Asylum Ambuscade. Este es un grupo de crimeware activo desde al menos 2020 que también participa en operaciones de ciberespionaje.
La última cadena de ataque permanece prácticamente sin cambios, excepto para el cambio de archivos adjuntos de Publisher habilitados para macros a PDF con un enlace OneDrive falso, con la campaña confiando en un servicio de spam proporcionado por TA571 para distribuir los PDF atrapados.
«TA571 es un distribuidor de spam, y este actor envía campañas de correo spam de alto volumen para entregar e instalar una variedad de malware para sus clientes cibercriminales», dijo el investigador de Proofpoint Axel F.
Esto incluye AsyncRAT, NetSupport RAT, IcedID, PikaBot, QakBot (alias Qbot), y DarkGate, el último de los cuales permite a los atacantes realizar varios comandos como robo de información, minería de criptomonedas y ejecución de programas arbitrarios.
Splunk, que detectó múltiples campañas que implementan un cargador diseñado para iniciar DarkGate en endpoints comprometidos, dijo que los archivos PDF maliciosos actúan como un portador para un instalador MSI que ejecuta un archivo de gabinete (CAB) para activar la ejecución de DarkGate a través de script de cargador AutoIT.
«Darkgate apareció por primera vez en 2017 y se vende solo a un pequeño número de grupos de ataque en forma de Malware-as-a-Service a través de foros clandestinos», dijo la compañía de ciberseguridad surcoreana S2W en un análisis del malware esta semana.
«DarkGate continúa actualizándolo agregando características y corrigiendo errores basados en los resultados de análisis de investigadores y proveedores de seguridad», destacando los esfuerzos continuos realizados por los adversarios para implementar técnicas anti-análisis para evitar la detección.
La noticia del resurgimiento de TA866 llega cuando Cofense reveló que los correos electrónicos de suplantación de identidad relacionados con el envío principalmente singularizan al sector manufacturero para propagar malware como el Agente Tesla y Formbook.
«Los correos electrónicos con temas de envío aumentan durante las temporadas de vacaciones, aunque solo ligeramente», dijo el investigador de seguridad de Cofense Nathaniel Raymond.
«En su mayor parte, las tendencias anuales sugieren que estos correos electrónicos siguen una tendencia particular a lo largo del año con diferentes grados de volúmenes, siendo los volúmenes más significativos en junio, octubre y noviembre.»
El desarrollo también sigue el descubrimiento de una nueva táctica de evasión. Esta aprovecha el mecanismo de almacenamiento en caché de los productos de seguridad para sortearlos. Lo hace mediante la incorporación de una URL de llamada a la acción (CTA) que apunta a un sitio web de confianza en el mensaje de phishing enviado al individuo objetivo.
«Su estrategia implica almacenar en caché una versión aparentemente benigna del vector de ataque y luego alterarlo para entregar una carga útil maliciosa», dijo Trellix, afirmando que tales ataques se han dirigido desproporcionadamente a los servicios financieros, la fabricación, el comercio minorista, y los seguros verticales en Italia, Estados Unidos, Francia, Australia e India.
Cuando dicha URL es escaneada por el motor de seguridad, está marcada como segura. Ese veredicto se almacena en su caché durante un tiempo determinado. Esto también significa que si la URL se encuentra de nuevo dentro de ese período de tiempo, la URL no se reprocesa, y en su lugar, se sirve el resultado en caché.
Trellix señaló que los atacantes están aprovechando esta peculiaridad al esperar hasta que los proveedores de seguridad procesen la URL del CTA y cacheen su veredicto. Luego alteren el enlace para redirigir a la página de phishing prevista.
«Con el veredicto benigno, el correo electrónico cae suavemente en la bandeja de entrada de la víctima», dijeron los investigadores de seguridad Sushant Kumar Arya, Daksh Kapur y Rohan Shah. «Ahora, si el destinatario desprevenido decide abrir el correo electrónico y hacer clic en el enlace/ botón dentro de la URL del CTA, serían redirigidos a la página maliciosa.»
No arriesgue su información. Proteja sus datos ante este tipo de amenazas. Póngase en contacto con nosotros para ayudarle a fortalecer su seguridad.