Los investigadores de ciberseguridad están utilizando familias de malware como Holdhands Rat y Gh0Stringe para advertir sobre nuevas campañas de phishing dirigidas a usuarios taiwaneses.
La actividad es parte de una campaña más amplia que proporcionó el marco de malware de Winos 4.0 a principios de enero de este año al enviar mensajes de phishing que se hacen pasar por la agencia fiscal nacional de Taiwán, dijo Fortinet Fortiguard Labs en un informe compartido con Hacker News.
La compañía de seguridad cibernética dijo que había identificado muestras de malware adicionales a través del monitoreo continuo y observó los mismos actores de amenaza que entregan existencias de GH0StRinge y malware en función de ratas de mantenimiento, utilizando documentos PDF de capa de malware o archivos postales distribuidos a través de correos electrónicos de phishing.
Vale la pena señalar que ambas ratas Holthands (también conocidas como GH0stbins) y GH0Stringe son variaciones de troyanos de acceso remoto conocidos llamados ratas GH0ST, que se usan ampliamente en grupos de piratería chinos.
El punto de partida para el ataque es un correo electrónico de phishing que falsifica un mensaje de un gobierno o socio comercial, empleando señuelos relacionados con impuestos, facturas y pensiones para persuadir a los destinatarios de que abra los archivos adjuntos. Se sabe que las cadenas de ataque alternativas utilizan imágenes integradas que descargan malware cuando se hacen clic.
El archivo PDF contiene un enlace que redirige los objetivos futuros a la página de descarga que aloja el archivo ZIP. Dentro del archivo encontrará algunos ejecutables legítimos, cargadores de shellcode y shellcode cifrado.
Las secuencias de infección de varias etapas requieren el uso de un cargador de shellcode. Esto no es más que un archivo DLL resaltado por un binario legítimo que usa técnicas DLL laterales. La carga útil intermedia implementada como parte del ataque incluye escalas anti-VMS y privilegios para garantizar que el host comprometido no bloquee el malware.
Este ataque alcanza su pico con la ejecución de «msgdb.dat». Esto permite que el comando y el control (C2) funcionen para recopilar información del usuario y descargar módulos adicionales para facilitar la administración de archivos y la funcionalidad de escritorio remoto.
Fortinet también encontró a los actores de amenaza que propagan GH0Stringe a través de archivos adjuntos PDF en correos electrónicos de phishing que registran a los usuarios para descargar las páginas HTM.
«La cadena de ataque consiste en numerosos fragmentos de shellcode y cargador que complica el flujo del ataque», dijo la compañía. «Más allá de los Winos, Holdhands y GH0Stringe, este grupo de amenazas continúa evolucionando sus estrategias de malware y distribución».
Source link
