Los investigadores de ciberseguridad han detallado una campaña coordinada de phishing llamada PhantomCaptcha que apunta a organizaciones asociadas con los esfuerzos de ayuda en la guerra en Ucrania y ofrece un troyano de acceso remoto que utiliza WebSockets para comando y control (C2).
La operación, que tuvo lugar el 8 de octubre de 2025, estuvo dirigida a miembros de la Sociedad Internacional de la Cruz Roja, el Consejo Noruego para los Refugiados, la Oficina del Fondo de las Naciones Unidas para la Infancia (UNICEF) en Ucrania, el Consejo Noruego para los Refugiados, el Servicio de Registro de Víctimas del Consejo de Europa en Ucrania y las administraciones gubernamentales locales de Ucrania en Donetsk, Dnipropetrovsk, Poltava y Mykolaevsk. regiones. dijo en un nuevo informe publicado hoy.
Se descubrió que el correo electrónico de phishing se hacía pasar por la oficina presidencial de Ucrania y enviaba un documento PDF con una trampa explosiva que contenía un enlace incrustado. Al hacer clic en este documento, las víctimas son redirigidas a un sitio Zoom falso (‘aplicación zoomconference(.)’) que las engaña para que ejecuten comandos maliciosos de PowerShell a través de una página CAPTCHA Cloudflare falsa estilo ClickFix disfrazada de verificación del navegador.
La página falsa de Cloudflare actúa como intermediaria al configurar una conexión WebSocket con un servidor controlado por un atacante y envía un ID de cliente generado por JavaScript. Si el servidor WebSocket responde con un identificador coincidente, el navegador lleva a la víctima a una reunión de Zoom legítima y protegida con contraseña.
Aunque se sospecha que este vector de infección probablemente esté reservado para llamadas de ingeniería social en vivo con las víctimas, SentinelOne dijo que no observó ningún actor de amenazas que lanzara esta línea de ataque durante su investigación.
Los comandos de PowerShell que se pegan en el cuadro de diálogo Ejecutar de Windows y luego se ejecutan conducen a un descargador ofuscado que es el principal responsable de recuperar y ejecutar la carga útil de la segunda etapa desde un servidor remoto. Este malware de segunda etapa explora el host comprometido, lo envía al mismo servidor y responde con un troyano de acceso remoto PowerShell.
«La carga útil final es un WebSocket RAT alojado en una infraestructura de propiedad rusa que permite la ejecución remota arbitraria de comandos, la filtración de datos y la implementación de malware adicional», dijo el investigador de seguridad Tom Hagel en un comunicado. «Las RAT basadas en WebSocket son puertas traseras de ejecución remota de comandos, shells efectivamente remotos que brindan a los operadores acceso arbitrario al host».
El malware está configurado para conectarse a un servidor WebSocket remoto en ‘wss://bsnowcommunications(.)com:80’ y recibir mensajes JSON codificados en Base64 que contienen comandos que se ejecutarán con cargas útiles de Invoke-Expression o PowerShell. Luego, los resultados de la ejecución se empaquetan en una cadena JSON y se envían al servidor a través de WebSocket.
Un análisis más detallado de la presentación de VirusTotal reveló que el PDF armado de ocho páginas se cargó desde múltiples lugares, incluidos Ucrania, India, Italia y Eslovaquia, lo que probablemente indica una amplia gama de objetivos.
SentinelOne señaló que los preparativos para la campaña comenzaron el 27 de marzo de 2025, cuando los atacantes registraron el dominio «goodhillsenterprise(.)com», que se utilizó para servir scripts de malware PowerShell ofuscados. Curiosamente, se dijo que la infraestructura asociada con la «aplicación zoomconference(.)» estuvo activa solo durante un día, el 8 de octubre.
Esto sugiere «una planificación sofisticada y un fuerte compromiso con la seguridad operativa», señaló la compañía, añadiendo que también descubrió una aplicación falsa alojada en el dominio «princess-mens(.)click» que pretende recopilar información de ubicación, contactos, registros de llamadas, archivos multimedia, información del dispositivo, una lista de aplicaciones instaladas y otros datos de dispositivos Android comprometidos.
Aunque esta campaña no se atribuye a ningún atacante o grupo conocido, el uso de ClickFix se superpone con el uso de ataques revelados recientemente por el grupo de piratería COLDRIVER vinculado a Rusia.
«La campaña PhantomCaptcha refleja un adversario altamente capaz que demuestra una amplia planificación operativa, infraestructura compartimentada y control de exposición deliberado», dijo SentinelOne.
«El período de seis meses desde el registro inicial de la infraestructura hasta la ejecución del ataque, seguido de la rápida eliminación de los dominios de cara al usuario mientras se mantiene el comando y control backend, confirma el dominio de los operadores tanto de las técnicas ofensivas como de la evasión defensiva».
Source link
