Los investigadores de ciberseguridad han expuesto a los actores de amenaza previamente desconocidos conocidos como la maldición de agua que dependía de los repositorios de GitHub armados para proporcionar malware en varias etapas.
«El malware permite la eliminación de datos (incluidas las credenciales, los datos del navegador y los tokens de sesión), el acceso remoto y la persistencia a largo plazo de los sistemas infectados», dijeron los investigadores de Trend Micro Jovit Samaniego, Aira Marcelo, Mohamed Fahmy y Gabriel Nicoleta en un análisis esta semana.
La campaña «amplia y sostenible», descubierta por primera vez el mes pasado, estableció un repositorio que proporciona utilidades de prueba de penetración aparentemente inofensivas, pero presenta cargas útiles maliciosas en los archivos de configuración del proyecto Visual Studio, como Bombarderos SMTP Mail y Sakura-Rat.
El Arsenal de Water Curse incorpora una amplia gama de herramientas e lenguajes de programación, destacando las capacidades de desarrollo de funciones cruzadas y apuntando a la cadena de suministro «Steelers de información orientados al desarrollador que difuminan la línea entre las herramientas de equipo rojo y la distribución de malware activo».
«Cuando se ejecuta, la carga útil maliciosa comenzó una compleja cadena de infecciones de varias etapas utilizando scripts de Visual Basic (VBS) y scripts ofuscados escritos en PowerShell», dijeron los investigadores. «Estos scripts descargaron archivos cifrados, extraían aplicaciones electrónicas y realizaron un amplio reconocimiento del sistema».
Los ataques también se caracterizan por el uso de técnicas de prevención preventiva, métodos de escalada de privilegios y mecanismos de mantenimiento para mantener el andamio a largo plazo de los huéspedes afectados. Los scripts de PowerShell también se utilizan para debilitar la defensa del host y bloquear la recuperación del sistema.
La maldición del agua se describe como un actor de amenaza de motivación financiera impulsado por el robo de calificaciones, sesiones de secuestro y reventa de acceso ilegal. Hasta 76 cuentas de GitHub están vinculadas a la campaña. Hay evidencia que sugiere que las actividades relacionadas pueden regresar hasta marzo de 2023.
El surgimiento de la maldición del agua es el último ejemplo de cómo la confianza asociada con las plataformas legítimas como GitHub es una amenaza como canal de entrega para ataques de cadena de suministro de software de malware y malware.
«Estos repositorios incluyen malware, utilidades de evitación, trucos de juegos, AIMBots, herramientas de billetera de criptomonedas, raspadores de osint, bots de spam y robo de calificación», dijo Trend Micro. «Esto refleja una estrategia de orientación de transformación múltiple que combina el delito cibernético con monetización oportunista».
«Su infraestructura y comportamiento demuestran que se centran en el sigilo, la automatización y la escalabilidad a través de la eliminación agresiva a través de los servicios de intercambio de archivos públicos y telegramas».
Esta divulgación se debe a la observación de múltiples campañas que utilizaron estrategias populares de ClickFix para implementar varias familias de malware como Asyncrat, Deerstealer (a través de un cargador llamado Hijack Loader), Filch Stealer, Lightperlgirl y Sectoprat (a través de Hojack Loader).
Asyncrat ha sido uno de los muchos troyanos de acceso remoto fácilmente disponibles utilizados por actores de amenaza no identificados, dirigiéndose indiscriminadamente a miles de organizaciones en múltiples sectores desde principios de 2024.
«Este comercial permite que el malware elude las defensas perimetrales tradicionales, particularmente mediante el uso de túneles temporales de CloudFlare para proporcionar cargas útiles de infraestructura aparentemente legítima», dice Halcyon. «Estos túneles proporcionan a los atacantes subdominios efímeros y no registrados que creen que son confiables para el control límite, lo que dificulta el bloqueo previo o la lista negra».
«Debido a que la infraestructura se gira dinámicamente a través de servicios legítimos, los defensores enfrentan desafíos para distinguir el uso malicioso de los flujos de trabajo de mantenimiento autorizados o de mantenimiento de TI. Esta táctica permite a los actores de amenaza proporcionar cargas útiles sin depender de servidores comprometidos o alojamiento a prueba de balas, aumentando la escala de la campaña y la salud».
Los hallazgos también entregan Soril Slats (también conocidos como ratas de ratas) con latas de pesca con temas de facturas, junto con el descubrimiento de campañas maliciosas continuas dirigidas a una variedad de organizaciones europeas en España, Portugal, Italia, Francia, Bélgica y los Países Bajos.
Las campañas anteriores para distribuir malware utilizaron declaraciones de impuestos sobre la renta para elegir expertos en contabilidad e impuestos. Algunos de ellos usan tecnología de contrabando HTML para ocultar cargas útiles maliciosas.
La cadena de ataque detallada por Orange CyberDefense engañará al destinatario para que adopte un correo electrónico de phishing similar destinado a abrir archivos adjuntos PDF que contienen un enlace OneDrive que apunta a los archivos PDF alojados directamente en el servicio de almacenamiento en la nube, y luego hacer clic en el botón «Abrir documento» en el usuario.
Al hacerlo, las víctimas redirigirán a un servidor web malicioso que actúa como un sistema de distribución de tráfico (TDS) para evaluar las solicitudes entrantes y determinar si necesitan llevarlas más a la siguiente etapa de infección. Si la máquina de la víctima cumple con los criterios requeridos, se mostrarán PDF benignos y los archivos JAR se descargarán en secreto para ejecutar soltando ratas Solillus.
Sorillus, una rata basada en Java que surgió por primera vez en 2019, es un malware multiplataforma que puede recopilar información confidencial, descargar/cargar archivos, tomar capturas de pantalla, grabar audio, realizar teclas de registro, ejecutar comandos arbitrarios e incluso registrar la desinstalación en sí misma. Tampoco es útil que muchas versiones de rack del caballo Troya estén disponibles en línea.
El ataque está calificado como parte de una amplia gama de campañas que se ha observado que proporciona Sambaspy a los usuarios italianos. Sambaspy pertenece a la familia de malware Sorillus para cada ciberdelino naranja.
«Esta operación introduce una fusión estratégica de servicios legítimos como OneDrive, Mediafire, plataformas de túneles como Ngrok y Localtonet, y evita la detección», dijo la compañía de seguridad cibernética. «El uso repetido de portugués brasileño en cargas útiles respalda la posibilidad de atribución a los actores de amenaza de habla brasileña».
Source link
