Se observó una nueva campaña de phishing de varias etapas dirigida a usuarios de Rusia utilizando ransomware y un troyano de acceso remoto llamado Amnesia RAT.
«Este ataque comienza con un señuelo de ingeniería social entregado a través de documentos con temas comerciales diseñados para parecer rutinarios e inofensivos», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs, en detalles técnicos publicados esta semana. «Estos documentos y los scripts que los acompañan actúan como distracciones visuales, dirigiendo a las víctimas a tareas falsas y mensajes de estado mientras la actividad maliciosa se ejecuta silenciosamente en segundo plano».
Esta campaña destaca por varias razones. Primero, utilice múltiples servicios de nube pública para distribuir diferentes tipos de cargas útiles. GitHub se utiliza principalmente para distribuir scripts, mientras que las cargas binarias se almacenan en Dropbox. Esta separación complica los esfuerzos de derribo y aumenta efectivamente la recuperación.
Otra «característica definitoria» de la campaña, según Fortinet, es la explotación operativa de Defense, no para desactivar Microsoft Defender. Defendnot fue lanzado el año pasado por un investigador de seguridad que utiliza el alias en línea es3n1n como una forma de engañar a los programas de seguridad haciéndoles creer que ya había otro producto antivirus instalado en un host de Windows.
La campaña utiliza ingeniería social para distribuir múltiples documentos señuelo y archivos comprimidos que contienen accesos directos maliciosos de Windows (LNK) con nombres de archivos rusos. Los archivos LNK utilizan una doble extensión («Задание_для_бухгалтера_02отдела.txt.lnk») para dar la impresión de que son archivos de texto.
Una vez ejecutado, ejecuta un comando de PowerShell para recuperar el script de PowerShell de la siguiente etapa alojado en el repositorio de GitHub (‘github(.)com/Mafin111/MafinREP111’). Actúa como un cargador de primera etapa para establecer un punto de apoyo, preparar el sistema para ocultar evidencia de actividad maliciosa y pasar el flujo de control a las etapas posteriores.
«El script primero suprime la ejecución visible al ocultar mediante programación la ventana de la consola PowerShell», dijo Fortinet. «Esto elimina todos los indicadores visuales directos de que el script se está ejecutando. Luego genera un documento de texto señuelo en el directorio de datos de la aplicación local del usuario. Una vez escrito en el disco, el documento señuelo se abre automáticamente».
Una vez que se muestra el documento a la víctima para continuar con la artimaña, el script utiliza la API de Telegram Bot para enviar un mensaje al atacante, informando al operador que la primera etapa se ejecutó con éxito. Después de un retraso introducido intencionalmente de 444 segundos, el script de PowerShell ejecuta un script de Visual Basic (‘SCRRC4ryuk.vbe’) alojado en la misma ubicación del repositorio.
Esto tiene dos beneficios importantes: mantiene el cargador liviano y permite al atacante actualizar o reemplazar la funcionalidad de la carga útil sobre la marcha sin realizar cambios en la cadena de ataque en sí.
El script de Visual Basic está muy ofuscado y actúa como un controlador que ensambla la carga útil de la siguiente etapa directamente en la memoria, evitando artefactos que quedan en el disco. El script de la etapa final verifica si se está ejecutando con privilegios elevados y, de lo contrario, muestra repetidamente indicaciones de Control de cuentas de usuario (UAC) para obligar a la víctima a otorgar los permisos necesarios. El guión se detiene durante 3000 milisegundos entre intentos.
En la siguiente fase, el malware inicia una serie de acciones para suprimir la visibilidad, desactivar los mecanismos de protección de los endpoints, realizar reconocimientos, impedir la recuperación y, finalmente, implementar la carga útil principal.
Configure las exclusiones de Microsoft Defender para que el programa no escanee los directorios temporales del sistema, Datos de programa, Archivos de programa, Escritorio, Descargas y del sistema. Desactive los componentes adicionales de protección de Defender mediante PowerShell. Implemente productos antivirus falsos para evitar el registro en la interfaz del Centro de seguridad de Windows y deshabilite Microsoft Defender para evitar posibles conflictos. Capturas de pantalla utilizando un módulo .NET dedicado descargado de un repositorio de GitHub. Realiza reconocimiento y monitoreo del entorno mediante captura. Captura la pantalla cada 30 segundos y la guarda como PNG. imagen y extrae los datos utilizando el bot de Telegram. Modifica los controles de políticas basados en el registro para deshabilitar las herramientas administrativas y de diagnóstico de Windows. Implementa un mecanismo de secuestro de asociación de archivos; al abrir un archivo con una extensión predefinida específica, se muestra un mensaje a la víctima indicándole que se comunique con el atacante a través de Telegram.
Una de las cargas útiles finales desplegadas después de superar con éxito los controles de seguridad y los mecanismos de recuperación es Amnesia RAT (‘svchost.scr’). Se obtiene de Dropbox y permite un amplio robo de datos y control remoto. Está diseñado para robar información almacenada en navegadores web, billeteras de criptomonedas, Discord, Steam y Telegram, así como metadatos del sistema, capturas de pantalla, imágenes de cámaras web, audio de micrófono, portapapeles y títulos de ventanas activas.
«Las RAT permiten una interacción remota completa, incluida la enumeración y finalización de procesos, la ejecución de comandos de shell, el despliegue de cargas útiles arbitrarias y la ejecución de malware adicional», dijo Fortinet. «La extracción se realiza principalmente a través de HTTPS utilizando la API de Telegram Bot. Se pueden cargar grandes conjuntos de datos en servicios de alojamiento de archivos de terceros, como GoFile, y el enlace de descarga se transmite al atacante a través de Telegram».
En general, Amnesia RAT facilita el robo de credenciales, el secuestro de sesiones, el fraude financiero y la recopilación de datos en tiempo real, convirtiéndolo en una herramienta integral para la apropiación de cuentas y los ataques de seguimiento.
La segunda carga útil entregada por el script es un ransomware derivado de la familia de ransomware Hakuna Matata y está configurado para cifrar documentos, archivos, imágenes, medios, código fuente y activos de aplicaciones en el terminal infectado, no sin antes finalizar cualquier proceso que pueda interferir con su funcionalidad.
Además, el ransomware monitorea el contenido del portapapeles, cambia silenciosamente las direcciones de las billeteras de criptomonedas y redirige las transacciones en las billeteras controladas por el atacante. La secuencia de infección termina con un script que implementa WinLocker para restringir la interacción del usuario.
«Esta cadena de ataques muestra que las campañas de malware modernas pueden comprometer sistemas enteros sin explotar las vulnerabilidades del software», concluyó Lin. «Al explotar sistemáticamente las características nativas de Windows, las herramientas de administración y los mecanismos de aplicación de políticas, los atacantes desactivan las defensas de los terminales antes de implementar herramientas de monitoreo persistentes o cargas útiles destructivas».
Para combatir el abuso de Defensenot de la API del Centro de seguridad de Windows, Microsoft recomienda que los usuarios habiliten la protección contra manipulaciones para evitar cambios no autorizados en la configuración de Defender y monitorear las llamadas API sospechosas y los cambios en el servicio Defender.
Este desarrollo se produce después de que los departamentos de recursos humanos, nómina y administración interna de una corporación rusa fueran atacados por el actor de amenazas UNG0902 para entregar un implante desconocido llamado DUPERUNNER, que es responsable de cargar el marco de comando y control (C2) AdaptixC2. Esta campaña de phishing, cuyo nombre en código es Operación DupeHike, ha estado en marcha desde noviembre de 2025.
Según Seqrite Labs, el ataque utiliza un documento señuelo centrado en temas relacionados con las bonificaciones de los empleados y las políticas financieras internas para persuadir al destinatario a abrir un archivo LNK malicioso en un archivo ZIP, lo que lleva a la ejecución de DUPERUNNER.
El implante se conecta a un servidor externo para recuperar y mostrar el documento PDF señuelo. Mientras tanto, los perfiles del sistema y las descargas de balizas AdaptixC2 se ejecutan en segundo plano.
En los últimos meses, es posible que las organizaciones rusas también hayan sido atacadas por otro actor de amenazas identificado como Paper Werewolf (también conocido como GOFFEE). GOFFEE distribuyó una puerta trasera llamada EchoGather utilizando señuelos generados por inteligencia artificial (IA) y archivos DLL compilados como complementos XLL de Excel.
«Una vez activada, la puerta trasera recopila información del sistema y se comunica con un servidor de comando y control (C2) codificado para respaldar la ejecución de comandos y las operaciones de transferencia de archivos», dijo la investigadora de seguridad de Intezer, Nicole Fishbein. «Comuníquese con el C2 a través de HTTP(S) utilizando la API WinHTTP».
Source link
