La organización rusa está siendo dirigida como parte de una campaña en curso para proporcionar un spyware de Windows previamente indocumentado llamado Batavia.
Las actividades para cada proveedor de ciberseguridad Kaspersky han estado activas desde julio de 2024.
«Los ataques específicos comienzan con correos electrónicos de cebo que contienen enlaces maliciosos enviados con el pretexto de firmar un contrato», dijo la compañía rusa. «El objetivo principal del ataque es infectar a su organización con el spyware de Batavia previamente desconocido, que roba documentos internos».
Los mensajes de correo electrónico se envían desde el dominio «Oblast-Ru (.) Com». Se dice que esto es propiedad del mismo atacante. Los enlaces incrustados en varios misceláneas digitales conducen a la descarga de archivos de archivo que contienen archivos de script codificados de Visual Basic (.vbe).
Cuando se ejecuta, el script perfila el host comprometido y elimina la información del sistema al servidor remoto. Esto es seguido por la recuperación de la siguiente etapa de carga útil del mismo servidor, un archivo ejecutable escrito en Delphi.
El malware puede mostrar contratos falsos a las víctimas como distracción, recopilar registros del sistema, documentos de oficina ( *.doc, *.docx, *.ods, *.odt, *.pdf, *.xls y *.xlsx) y capturas de pantalla en el fondo. La recopilación de datos también se extiende a dispositivos extraíbles conectados al host.
Otra característica del malware Delphi es descargar su propio binario del servidor. Esto se dirige a un conjunto más amplio de extensiones de archivos para colecciones posteriores. Esto incluye imágenes, correos electrónicos, presentaciones de Microsoft PowerPoint, archivos de archivo y documentos de texto ( *.jpeg, *.jpg, *.cdr, *.csv, *.eml, *.ppt, *.pptx, *.odp, *.rar, *.zip, *.rtff y *.txt).
Los datos recién recopilados se envían a otro dominio («Ru-Exchange (.) Com») desde el cual se descarga un archivo ejecutable desconocido como la cuarta etapa para continuar aún más la cadena de ataque.
Los datos de telemetría de Kaspersky muestran que más de 100 usuarios de docenas de organizaciones han recibido correos electrónicos de phishing durante el año pasado.
«Como resultado del ataque, Batavia descartará información como documentos de víctimas y listados de programas instalados, conductores y componentes del sistema operativo», dijo la compañía.
Esta divulgación se debe a que Fortinet Fortiguard Labs detalla una campaña maliciosa que proporciona malware de Stealer Windows, con nombre en código Norddragonscan. El vector de acceso inicial exacto no está claro, pero se considera un correo electrónico de phishing que propaga el enlace que desencadena la descarga del archivo RAR.
«Cuando se instala Norddragonscan, examina el host, copia los documentos, cosecha todo el perfil de Chrome y Firefox y toma capturas de pantalla», dice la investigadora de seguridad Cara Lin.
Residen en el archivo hay un archivo de acceso directo (LNK) de Windows que usa «mshta.exe» para ejecutar una aplicación HTML alojada (HTA) de forma remota. Este paso busca documentos de señuelo benignos, pero la carga útil .NET .NET se cae en silencio en el sistema.
Norddragonscan establece una conexión con un servidor remoto («Kpuszkiev (.) Com») A medida que se invoca malware del Stealer, establece la persistencia a través de cambios en el registro de Windows, realiza un reconocimiento extenso de máquinas comprometidas, recopila datos confidenciales a través de solicitudes de publicaciones HTTP y extrae información que se devolverá al servidor.
«El archivo RAR contiene una llamada LNK que llama a MSHTA.EXE para ejecutar un script HTA malicioso, que muestra documentos de señuelo en ucraniano. Norddragonscan puede escanear hosts, capturar capturas de pantalla, extraer documentos y PDF, y olfatear perfiles en Chrome y Firefox».
Source link
