10 de junio de 2024Sala de redacción Ataque de phishing/Cibercrimen
Investigadores de ciberseguridad han descubierto un ataque de phishing que distribuye el malware More_eggs disfrazado de currículum. Esta técnica se detectó por primera vez hace más de dos años.
El ataque, que la empresa canadiense de ciberseguridad eSentire reveló la semana pasada, tuvo como objetivo una empresa anónima del sector de servicios industriales en mayo de 2024, pero no tuvo éxito.
“Específicamente, los objetivos eran reclutadores que fueron engañados por el actor de amenazas haciéndoles creer que buscaban empleo y atraídos a su sitio web para descargar un cargador”, dijo la compañía.
More_eggs, que se cree que es obra del actor de amenazas conocido como Golden Chickens (también conocido como Venom Spider), es una puerta trasera modular que puede recopilar información confidencial. Se ofrece a otros delincuentes en un modelo de malware como servicio (MaaS).
El año pasado, eSentire reveló las identidades reales de dos personas de Montreal, Chuck y Jack, de quienes se decía que dirigían la operación.
En la última cadena de ataques, un atacante malicioso responde a un anuncio de trabajo de LinkedIn con un enlace a un sitio de descarga de currículums falso que engaña al usuario para que descargue un archivo de acceso directo de Windows (LNK) malicioso.
En particular, la actividad anterior de More_eggs se dirigió a profesionales de LinkedIn con ofertas de trabajo armadas y los engañó para que descargaran malware.
“Cuando visitas la misma URL unos días después, no hay señales de redireccionamiento o descarga, y el currículum del individuo aparece en formato HTML simple”, señala eSentire.
Luego, el archivo LNK se usa para recuperar la DLL maliciosa usando un programa legítimo de Microsoft llamado ie4uinit.exe. Luego, la biblioteca se ejecuta usando regsvr32.exe para establecer persistencia, recopilar datos sobre el host infectado y eliminar cargas útiles adicionales, como la puerta trasera More_eggs basada en JavaScript.
“La campaña More_eggs todavía está activa, y sus operadores utilizan tácticas de ingeniería social, como hacerse pasar por solicitantes de empleo que intentan postularse para puestos específicos y atraer a las víctimas (particularmente a los reclutadores) para que descarguen malware”, dijo eSentire.
“Además, campañas como more_eggs que utilizan servicios MaaS parecen escasas y selectivas en comparación con las típicas redes de distribución de malspam”.
Este desarrollo se produce después de que la compañía de ciberseguridad también revelara detalles de una campaña de descarga no autorizada que utilizó un sitio web falso para que la herramienta activadora de Windows KMSPico distribuyera Vidar Stealer.
“kmspico[.]”Este sitio está alojado detrás de Cloudflare Turnstile y requiere intervención humana (ingresar un código) para descargar el paquete ZIP final”, señala eSentire. “Estos pasos son inusuales para una página de descarga de aplicaciones legítima y se toman para ocultar la página y la carga útil final de los rastreadores web automatizados”.
Trustwave SpiderLabs dijo la semana pasada que campañas similares de ataques de ingeniería social también han abierto sitios similares disfrazados de software legítimo, como Advanced IP Scanner, para implementar Cobalt Strike.
Además, sigue apareciendo un nuevo kit de phishing llamado V3B, dirigido a clientes bancarios en la Unión Europea y utilizado para robar credenciales y contraseñas de un solo uso (OTP).
El kit se ofrece a través de un modelo de phishing como servicio (PhaaS) en la web oscura y un canal de Telegram dedicado por entre 130 y 450 dólares al mes, y se dice que ha estado activo desde marzo de 2023. Diseñado para respaldar a más de 54 bancos ubicados en Austria, Bélgica, Finlandia, Francia, Alemania, Grecia, Irlanda, Italia, Luxemburgo y los Países Bajos.
Lo más importante es que V3B presenta plantillas personalizadas y localizadas para imitar los diversos procesos de autenticación y verificación comunes a los sistemas regionales de comercio electrónico y banca en línea.
También puede interactuar con las víctimas en tiempo real para obtener códigos OTP y PhotoTAN, así como realizar ataques de secuestro de inicio de sesión con código QR (también conocido como QRLJacking) contra servicios como WhatsApp que permiten el inicio de sesión con código QR. También tiene otras funciones. .
“Desde entonces, han construido una base de clientes dirigida a instituciones financieras europeas”, dijo Resecurity. “Calculamos que cientos de ciberdelincuentes están utilizando actualmente este kit para cometer fraudes y vaciar las cuentas bancarias de las víctimas”.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/06/moreeggs-malware-disguised-as-resumes.html