Los investigadores de ciberseguridad han revelado una nueva campaña maliciosa que utiliza sitios web falsos que promueven el software antivirus para descargar una víctima de Dupe, un troyano de acceso remoto llamado Venom Rat, de Bitdefender.
La campaña «muestra indicativamente que está destinado a dirigirse a las personas para intereses financieros al violar su elegibilidad, las billeteras criptográficas y la venta potencial de acceso al sistema», dijo el equipo de DomaTools Intelligence (DTI) en un nuevo informe compartido con Hacker News.
El sitio web en cuestión, «BitDefender-Download (.) Com», promueve a los visitantes del sitio y descarga la versión de Windows del software Antivirus. Al hacer clic en el famoso «Descargar Windows para Windows», comenzará a descargar archivos del repositorio de Bitbucket que se redirige a un cubo de Amazon S3. Su cuenta de Bitbucket ya no está activa.
ZIP Archive («BitDefender.zip») contiene un ejecutable llamado «StoreInstaller.exe» que contiene la configuración de malware asociada con la rata Venom.
Venom Rat es un derivado de la rata Quasar con la capacidad de cosechar datos y proporcionar acceso remoto permanente a los atacantes.
DomaTools dijo que el sitio web de señuelo donde Bitdefender comparte temporal e infraestructura, se superpone con otros dominios maliciosos y servicios de TI populares que se utilizan como parte de las actividades de phishing para cosechar calificaciones de inicio de sesión relacionadas con el Royal Bank y Microsoft de Canadá.
«Estas herramientas funcionan en conciertos. Venomurat se escapa, Stormkitty toma contraseñas e información de billetera digital, y Silent Trinity permite a los atacantes esconder y mantener el control», dijo la compañía.
«Esta campaña destaca una tendencia constante. Los atacantes usan malware modular sofisticado construido a partir de componentes de código abierto. Este enfoque de ‘construir malware’ hace que estos ataques sean más eficientes, sigilosos y adaptables».
Esta divulgación ocurre cuando Sucuri usa páginas de Google Meet Bogus para engañar a los usuarios para instalar noant-vm.bat rata y advierte que instalaran un script de lotes de Windows muy esotérico que permita el control remoto a la computadora de la víctima.
«Esta página falsa de Google Meet no presenta un formulario de inicio de sesión para robar directamente sus credenciales», dijo la investigadora de seguridad Puja Srivastava. «En cambio, emplea tácticas de ingeniería social, presentando un error falso de» permiso de micrófono denegado «, lo que lleva al usuario a copiar y pegar ciertos comandos de PowerShell como» correcciones «.
También sigue un aumento en los ataques de phishing con campañas altamente sofisticadas que están falsificando meta, aprovechando la plataforma de desarrollo sin código de la hoja de aplicaciones de Google.
«Al aprovechar las tácticas de vanguardia, como los factores de identificación del polimorfismo, los mecanismos proxy intermedios avanzados y la tecnología de derivación de la autenticación multifactor, los atacantes tienen como objetivo cosechar credenciales y código de autenticación de dos factores (2FA), KnowBe4 amenazas de amenaza dijo en el informe.
Esta campaña implica el uso de la hoja de aplicaciones, entregando correos electrónicos de phishing en general y evitando defensas de seguridad de correo electrónico como SPF, DKIM, DMARC y más, debido al hecho de que los mensajes se originan en dominios válidos («Noreply@AppSheet (.) Com»).
Además, el correo electrónico proviene del soporte de Facebook y afirma que está utilizando advertencias de eliminación de cuentas para engañar a los usuarios para que haga clic en enlaces falsos con el pretexto de enviar apelaciones dentro de las 24 horas. El enlace atrapado Booby está diseñado para guiar a las víctimas a páginas de phishing hostiles (AITM) y credenciales de cosecha y códigos de autenticación de dos factores (2FA).
«Para evitar aún más la detección y complicar la remediación, los atacantes están aprovechando las capacidades de las hojas de aplicación para generar ID únicas que se presentan como ID de caso en el cuerpo del correo electrónico», dijo la compañía.
«La presencia de un identificador de polimorfismo único en cada correo electrónico de phishing garantiza que todos los mensajes sean ligeramente diferentes y puedan ayudar a evitar los sistemas de detección tradicionales que dependen de indicadores estáticos como hashes y URL maliciosas conocidas».
Source link
