Una campaña de phishing en curso está empleando temas relacionados con la infracción de derechos de autor para engañar a las víctimas para que descarguen una versión más nueva del ladrón de información Rhadamanthys desde julio de 2024.
La empresa de ciberseguridad Check Point está siguiendo la campaña a gran escala bajo el nombre CopiaRh(derecho)adamantys. Las regiones objetivo incluyen Estados Unidos, Europa, Asia Oriental y América del Sur.
“La campaña se hace pasar por docenas de empresas, mientras que cada correo electrónico se envía a una entidad específica desde una cuenta de Gmail diferente, adaptando la empresa suplantada y el idioma de cada entidad objetivo”, dijo la compañía en un análisis técnico. “Casi el 70% de las empresas suplantadas pertenecen a los sectores de entretenimiento/medios y tecnología/software”.
Los ataques destacan por el despliegue de la versión 0.7 del ladrón Rhadamanthys, que, como detalló Insikt Group de Recorded Future a principios del mes pasado, incorpora inteligencia artificial (IA) para el reconocimiento óptico de caracteres (OCR).
La compañía israelí dijo que la actividad se superpone con una campaña que Cisco Talos reveló la semana pasada dirigida a usuarios de cuentas comerciales y publicitarias de Facebook en Taiwán para entregar malware ladrón Lumma o Rhadamanthys.
Las cadenas de ataques se caracterizan por el uso de tácticas de phishing que implican el envío de mensajes de correo electrónico alegando supuestas violaciones de derechos de autor haciéndose pasar por empresas conocidas.
Estos correos electrónicos se envían desde cuentas de Gmail y afirman ser de representantes legales de las empresas suplantadas. El contenido del mensaje acusa a los destinatarios de hacer un mal uso de su marca en las plataformas de redes sociales y les solicita que eliminen las imágenes y vídeos en cuestión.
“Se dice que las instrucciones de eliminación están en un archivo protegido con contraseña. Sin embargo, el archivo adjunto es un enlace de descarga a appspot.com, vinculado a la cuenta de Gmail, que redirige al usuario a Dropbox o Discord para descargar un archivo protegido con contraseña. (con la contraseña proporcionada en el correo electrónico)”, dijo Check Point.
El archivo RAR contiene tres componentes: un ejecutable legítimo vulnerable a la carga lateral de DLL, la DLL maliciosa que contiene la carga útil del ladrón y un documento señuelo. Una vez que se ejecuta el binario, descarga el archivo DLL, lo que luego allana el camino para la implementación de Rhadamanthys.
Check Point, que atribuyó la campaña a un probable grupo de delitos cibernéticos, dijo que es posible que los actores de amenazas hayan utilizado herramientas de inteligencia artificial dada la escala de la campaña y la variedad de señuelos y correos electrónicos de los remitentes.
“El ataque generalizado e indiscriminado de la campaña a organizaciones en múltiples regiones sugiere que fue orquestada por un grupo de cibercrimen con motivación financiera en lugar de un actor de un estado-nación”, dijo. “Su alcance global, sus tácticas de phishing automatizadas y sus diversos señuelos demuestran cómo los atacantes evolucionan continuamente para mejorar sus tasas de éxito”.
El nuevo malware SteelFox explota un controlador vulnerable
Los hallazgos se producen cuando Kaspersky arroja luz sobre un nuevo “paquete de crimeware con todas las funciones” denominado SteelFox que se propaga a través de publicaciones en foros, rastreadores de torrents y blogs, haciéndose pasar por utilidades legítimas como Foxit PDF Editor, JetBrains y AutoCAD.
La campaña, que se remonta a febrero de 2023, se ha cobrado víctimas en todo el mundo, en particular en Brasil, China, Rusia, México, Emiratos Árabes Unidos, Egipto, Argelia, Vietnam, India y Sri Lanka. No se ha atribuido a ningún actor o grupo de amenazas conocido.
“Esta amenaza, entregada a través de sofisticadas cadenas de ejecución que incluyen shellcoding, abusa de los servicios y controladores de Windows”, dijo el investigador de seguridad Kirill Korchemny. “También utiliza malware ladrón para extraer los datos de la tarjeta de crédito de la víctima, así como detalles sobre el dispositivo infectado”.
El punto de partida es una aplicación de cuentagotas que se hace pasar por versiones descifradas de software popular y que, cuando se ejecuta, solicita acceso de administrador y suelta un cargador de siguiente etapa que, a su vez, establece la persistencia y lanza la DLL SteelFox.
Posteriormente, se abusa del acceso de administrador para crear un servicio que ejecuta una versión anterior de WinRing0.sys, una biblioteca de acceso a hardware para Windows que es vulnerable a CVE-2020-14979 y CVE-2021-41285, lo que permite al actor de amenazas obtener NT Privilegios del SISTEMA.
“Este controlador también es un componente del minero XMRig, por lo que se utiliza con fines mineros”, señaló Korchemny. “Después de inicializar el controlador, la muestra inicia el minero. Esto representa un ejecutable modificado de XMRig con rellenos de código basura. Se conecta a un grupo de minería con credenciales codificadas”.
El minero, por su parte, se descarga desde un repositorio de GitHub, y el malware también inicia contacto con un servidor remoto a través de TLS versión 1.3 para extraer datos confidenciales de los navegadores web, como cookies, datos de tarjetas de crédito, historial de navegación y lugares visitados. , metadatos del sistema, software instalado y zona horaria, entre otros.
“El uso altamente sofisticado del C++ moderno combinado con bibliotecas externas otorga a este malware un poder formidable”, afirmó Kaspersky. “El uso de TLS v1.3 y fijación SSL garantiza una comunicación segura y la recopilación de datos confidenciales”.