A campaña de phishingactivo desde septiembre pasado, se dirige a usuarios en LinkedIn y otras plataformas haciéndose pasar por reclutadores de empleo en la industria aeroespacial.
ClearSky atribuyó la campaña al actor de amenazas TA455 vinculado a Irán, que utiliza un enfoque de phishing para apuntar y atraer a personas. Una vez conectados con sus víctimas, los actores de amenazas las alientan a descargar un archivo zip llamado «SIgnedConnection.zip».
Además de esto, los actores de amenazas también proporcionan una guía en PDF a sus víctimas para instruirlas sobre cómo descargar y abrir archivos zip de forma segura.
El archivo zip contiene un archivo ejecutable que carga el malware en el dispositivo de la víctima mediante la descarga de DLL. Un archivo DLL llamado «secure32[.]dll» se carga en su sistema, lo que permite al atacante ejecutar código no detectado.
Una vez hecho esto, el malware inicia una cadena de infección, que finalmente implementa el malware Snail Resin y abre una puerta trasera con la etiqueta «BabosaResina. “Tanto este malware como esta puerta trasera se atribuyen a gatito encantadorOtro actor de amenazas iraní, según los investigadores de ClearSky.
El grupo utiliza varios métodos para evadir la detección, incluida la codificación de comunicaciones de comando y control (C2) en GitHub para dificultar que las herramientas de detección tradicionales reconozcan que es una amenaza, e imita tácticas asociadas con el Grupo Lazarus, lo que causa complicaciones en la atribución. .
Al igual que campañas anteriores, TA455 se dirige a los profesionales aeroespaciales. Por lo tanto, las personas que trabajan en este campo en plataformas como LinkedIn deben tener cuidado con los mensajes y conexiones que reciben de fuentes desconocidas.
No te pierdas el próximo gratis Evento virtual de lectura oscura“Conozca a su enemigo: comprenda a los ciberdelincuentes y los actores estatales de amenazas”, 14 de noviembre a las 11 a. m., hora del Este. No te pierdas las sesiones sobre cómo entender MITRE ATT&CK, cómo utilizar la seguridad proactiva como arma y una clase magistral sobre respuesta a incidentes; y una gran cantidad de oradores de primer nivel como Larry Larsen de Navy Credit Federal Union, el ex analista de Kaspersky Lab Costin Raiu, Ben Read de Mandiant Intelligence, Rob Lee de SANS y Elvia Finalle de Omdia. Regístrate ahora!