La campaña de malware CoralRaider explota la caché CDN para difundir malware que roba información


24 de abril de 2024Sala de prensa Malware/Seguridad de datos

Desde al menos febrero de 2024, hemos visto una nueva campaña de malware en curso que distribuye tres ladrones diferentes, incluidos CryptBot, LummaC2 y Rhadamanthys, alojados en dominios de caché de la red de entrega de contenido (CDN).

Cisco Talos concluye con confianza media que esta actividad es obra de un actor de amenazas rastreado como CoralRaider, un grupo que se cree que es de origen vietnamita que salió a la luz a principios de este mes.

La evaluación identificó “la campaña Rotbot de CoralRaider, incluidos vectores de ataque iniciales en archivos de acceso directo de Windows, herramientas intermedias de descifrado de PowerShell y scripts de descarga de carga útil, y técnicas FoDHelper utilizadas para evitar el control de acceso de usuarios (UAC) en las máquinas víctimas. Basado en cierta superposición en tácticas y técnicas. y Procedimientos (TTP)”, dijo la compañía.

La campaña se dirige a una variedad de industrias en diferentes regiones, incluidos Estados Unidos, Nigeria, Pakistán, Ecuador, Alemania, Egipto, Reino Unido, Polonia, Filipinas, Noruega, Japón, Siria y Turquía.

La cadena de ataque implica que un usuario descargue un archivo disfrazado de archivo de película a través de un navegador web, lo que aumenta la probabilidad de un ataque a gran escala.

“Este adversario utiliza el almacenamiento en caché de la red de entrega de contenido (CDN) en esta campaña para almacenar archivos maliciosos en los hosts del borde de la red y evitar retrasos en las solicitudes”, dijo Alex Karkins, investigador de Talos, Joey Chen, Chetan Raghuprasad. “Los atacantes utilizan cachés CDN como servidores de descarga para engañar a los defensores de la red”.

El vector de acceso inicial para las descargas no autorizadas parecen ser los correos electrónicos de phishing. Los correos electrónicos de phishing se utilizan como conducto para difundir enlaces maliciosos que apuntan a archivos ZIP que contienen archivos de acceso directo de Windows (LNK).

Luego, el archivo de acceso directo ejecuta un script de PowerShell para recuperar la carga útil de la aplicación HTML (HTA) de la siguiente etapa alojada en la caché de CDN. Luego ejecuta código Javascript para iniciar un cargador PowerShell integrado que pasa desapercibido y finalmente descarga y ejecuta uno de los tres malware que se filtran.

El script del cargador modular de PowerShell está diseñado para evitar el control de acceso de usuarios (UAC) en la máquina víctima utilizando una técnica conocida llamada FodHelper. Esta técnica también la utilizan actores de amenazas en Vietnam asociados con otro ladrón llamado NodeStealer que puede robar datos de cuentas de Facebook.

Independientemente de lo que se implemente, el malware que se filtra roba información sobre las víctimas, incluidos datos del sistema y del navegador, credenciales, billeteras de criptomonedas e información financiera.

Lo más destacado de esta campaña es que aprovecha una versión actualizada de CryptBot que incorpora nueva tecnología antianálisis y también captura bases de datos de aplicaciones de administrador de contraseñas e información de aplicaciones de autenticación.

¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.




Fuente: https://thehackernews.com/2024/04/coralraider-malware-campaign-exploits.html