Un ataque recientemente descubierto encontró actores de amenazas en Europa del Este utilizando un nuevo enfoque de “bomba de racimo” para empaquetar implementaciones de malware en cascada dentro de una sola infección.
Según una investigación de Outpost24, el atacante, denominado Unfirling Hemlock, coloca hasta 10 archivos de malware diferentes en el mismo sistema infectado a la vez.
“Mientras investigaba los TTP comunes observados en las campañas de ataque de malware utilizadas el año pasado, el equipo de inteligencia de amenazas cibernéticas de Outpost24, KrakenLabs, descubrió que se utilizaban para distribuir diferentes tipos de malware no necesariamente relacionados entre sí. “Hemos encontrado múltiples informes y artículos que describen nuevas técnicas de infección que se están utilizando actualmente”, dijo Héctor García, investigador de infraestructura de amenazas en KrakenLabs, en una publicación de blog. “Tras una investigación más profunda, es posible que hayamos encontrado una campaña a gran escala ejecutada durante varios meses por un solo grupo, en lugar de una variedad de actores maliciosos que utilizan nuevas técnicas de distribución. Lo entiendo”.
Con base en el origen de las muestras analizadas, se concluyó que este ataque tuvo como objetivo principal a Estados Unidos, Alemania y Rusia.
Nido de malware para máxima efectividad
“Durante esta campaña, nuestro equipo de inteligencia de amenazas observó lo que creemos que es un camino claro a seguir cuando se intenta maximizar las ganancias de una campaña de distribución de malware”, dijo García. “Es lógico pensar que si una única infección de malware tiene éxito, entonces otro malware con características similares también debería tener éxito”.
Estos tipos de infecciones generalmente se realizan infectando al objetivo con un cargador, RAT o puerta trasera y luego soltando múltiples tipos de malware, como ladrones, criptomineros y ransomware.
Actualmente implementado, Hemlock utiliza malware distribuido en infecciones de “bomba de racimo”, que consiste principalmente en ladrones como Redline, RisePro y Mystic Stealer, y cargadores como Amadey y SmokeLoader.
García explicó que la desventaja de utilizar este tipo de técnicas es que una vez que se detecta el cargador o pierde contacto con el C2, no pueden ocurrir más infecciones.
Desde febrero de 2023 hasta principios de 2024, la operación distribuyó decenas de miles de muestras y detectó más de 50.000 bombas de racimo, según Virus Total.
Correos electrónicos de phishing que contienen archivos .cab
El malware se distribuyó mediante archivos gabinete (.cab), que son archivos comprimidos utilizados por Microsoft Windows. Cada archivo comprimido contenía dos archivos: otro archivo comprimido y una muestra de malware. El archivo comprimido más profundo contenía dos muestras de malware, añadió García en su blog.
Debido a la naturaleza de las técnicas de ataque y del malware utilizado, es muy probable que los atacantes no tengan un objetivo específico en mente. En cambio, cualquier sistema con una vulnerabilidad que pueda infectarse con malware distribuido como una bomba de racimo se considera un objetivo viable, independientemente de su ubicación, ubicación o entorno.
Inicialmente se detectó que la mayoría de las muestras se habían enviado por correo electrónico a varias empresas o se habían eliminado de sitios externos a los que accedían cargadores externos.
“La mayoría de las muestras se cargaron en servicios como Virus Total y nuestros sistemas mediante API, lo que indica que las soluciones de seguridad automatizadas las están detectando”, añadió García. “También hemos visto algunas muestras detectadas e interceptadas por servicios de protección de correo electrónico”. Estas bombas de racimo son simples y utilizan malware conocido que la mayoría de las soluciones antimalware pueden detectar. El blog señala que sus defensas analizan archivos sospechosos y que si evitas enlaces y correos electrónicos peligrosos, estás a salvo.
Fuente: https://www.csoonline.com/article/2512804/new-campaign-uses-malware-cluster-bomb-to-effect-maximum-impact.html/amp/
