Una campaña de ingeniería social en curso, supuestamente vinculada al grupo de ransomware Black Basta, ha sido vinculada a «múltiples intentos de intrusión» con el objetivo de llevar a cabo el robo de credenciales y desplegar un malware llamado SystemBC.
«El cebo inicial utilizado por los actores de amenazas sigue siendo el mismo: una bomba electrónica seguida de un intento de llamar a los usuarios afectados y ofrecerles una solución falsa», dijo Rapid7. dichoañadiendo que «las llamadas externas normalmente se realizaban a los usuarios afectados a través de Microsoft Teams».
Luego, la cadena de ataque convence al usuario de descargar e instalar un software legítimo de acceso remoto llamado AnyDesk, que actúa como un conducto para implementar cargas útiles de seguimiento y filtrar datos confidenciales.
Esto incluye el uso de un ejecutable llamado «AntiSpam.exe» que pretende descargar filtros de spam y solicita a los usuarios que ingresen sus credenciales de Windows para completar la actualización.
Al paso le sigue la ejecución de varios binarios, archivos DLL y scripts de PowerShell, que incluyen una baliza HTTP basada en Golang que establece contacto con un servidor remoto, un proxy SOCKS y SystemBC.
Para mitigar el riesgo que plantea la amenaza, es recomendable bloquear todas las soluciones de escritorio remoto no aprobadas y estar atento a llamadas telefónicas y mensajes de texto sospechosos que afirmen provenir del personal interno de TI.
Esta revelación se produce cuando SocGholish (también conocido como FakeUpdates), GootLoader y Raspberry Robin se han convertido en las cepas de cargadores más vistas en 2024, que luego sirven como trampolín para el ransomware, según datos de ReliaQuest.
«GootLoader es nuevo en el top 3 de este año y reemplaza a QakBot a medida que su negocio disminuye», dijo la compañía de ciberseguridad. dicho.
“Los cargadores de malware se anuncian con frecuencia en foros de cibercrimen de la web oscura, como XSS y Exploit, donde se comercializan entre los ciberdelincuentes que buscan facilitar las intrusiones en la red y la entrega de cargas útiles. Estos cargadores suelen ofrecerse a través de modelos de suscripción, con tarifas mensuales que brindan acceso a actualizaciones periódicas, soporte y nuevas funciones diseñadas para evadir la detección. »
Una ventaja de este enfoque basado en suscripción es que permite que incluso los delincuentes con experiencia técnica limitada lancen ataques sofisticados.
También se han observado ataques de phishing, que propagan malware de robo de información llamado 0bj3ctivity Stealer utilizando otro cargador llamado Ande Loader en un mecanismo de distribución de múltiples capas.
«La distribución del malware a través de scripts ofuscados y cifrados, técnicas de inyección de memoria y la mejora continua de Ande Loader con características como antidepuración y ofuscación de cadenas resaltan la necesidad de mecanismos de seguridad avanzados e investigación continua», dijo eSentire. dicho.
Estas campañas son solo las últimas de una serie de ataques de phishing e ingeniería social que se han descubierto en las últimas semanas, incluso cuando los actores de amenazas son cada vez más Armamento de códigos QR falsos con fines maliciosos –
- Una campaña ClearFake que palancas Páginas web comprometidas para distribuir malware .NET con el pretexto de descargar una actualización de Google Chrome
- A campaña que utiliza sitios web falsos que se hacen pasar por HSBC, Santander, Virgin Money y Wise para proporcionar una copia del software AnyDesk Remote Monitoring and Management (RMM) a usuarios de Windows y macOS, que luego se utiliza para robar datos confidenciales.
- A sitio web falso (“win-rar[.]co») aparentemente distribuye WinRAR, que se utiliza para implementar ransomware, un minero de criptomonedas y un ladrón de información llamado Kematian Stealer, que están alojados en GitHub.
- A campaña de publicidad maliciosa en redes sociales que secuestra páginas de Facebook para promover un sitio web de edición de fotografías con inteligencia artificial (IA) aparentemente legítimo a través de anuncios pagados que engañan a las víctimas para que descarguen la herramienta RMM de ITarian y la utilicen para difundir Lumma Stealer.
«Apuntar a los usuarios de redes sociales con actividad maliciosa resalta la importancia de medidas de seguridad sólidas para proteger las credenciales de las cuentas y evitar el acceso no autorizado», dijeron los investigadores de Trend Micro.
