Los actores de la amenaza están atrayendo a usuarios desprevenidos con versiones gratuitas o pirateadas de software comercial para distribuir un cargador de malware llamado Hijack Loader, que luego despliega un ladrón de información conocido como Vidar Stealer.
"Los adversarios habían conseguido engañar a los usuarios para que descargaran archivos comprimidos protegidos por contraseña que contenían copias troyanizadas de una aplicación Cisco Webex Meetings (ptService.exe)", explicaba el investigador de seguridad de Trellix Ale Houspanossian.
"Cuando las víctimas desprevenidas extraían y ejecutaban un archivo binario 'Setup.exe', la aplicación Cisco Webex Meetings cargaba de forma encubierta un cargador de malware sigiloso, que conducía a la ejecución de un módulo de robo de información".
El punto de partida es un archivo RAR que contiene un ejecutable de nombre "Setup.exe", pero que en realidad es una copia del módulo ptService de Cisco Webex Meetings.
Lo que hace notable a la campaña es el uso de técnicas de carga lateral de DLL para lanzar sigilosamente Hijack Loader (también conocido como DOILoader o IDAT Loader), que luego actúa como conducto para soltar Vidar Stealer mediante un script AutoIt.
"El malware emplea una técnica conocida para eludir el Control de Cuentas de Usuario (UAC) y explotar la interfaz CMSTPLUA COM para la escalada de privilegios", dijo Houspanossian. "Una vez que la escalada de privilegios tuvo éxito, el malware se agregó a la lista de exclusión de Windows Defender para evadir la defensa".
La cadena de ataque, además de utilizar Vidar Stealer para desviar credenciales sensibles de los navegadores web, aprovecha cargas útiles adicionales para desplegar un minero de criptomoneda en el host comprometido.
La revelación se produce tras un repunte de las campañas ClearFake que atraen a los visitantes de sitios web para que ejecuten manualmente un script PowerShell para solucionar un supuesto problema con la visualización de páginas web, una técnica revelada anteriormente por ReliaQuest a finales del mes pasado.
El script PowerShell sirve entonces como plataforma de lanzamiento para Hijack Loader, que en última instancia entrega el malware Lumma Stealer. El stealer también está equipado para descargar otras tres cargas útiles, incluyendo Amadey Loader, un descargador que lanza el minero XMRig, y un malware clipper para redirigir las transacciones criptográficas a billeteras controladas por el atacante.
"Se observó que Amadey descargaba otras cargas útiles, por ejemplo un malware basado en Go que se cree que es JaskaGO", dijeron los investigadores de Proofpoint Tommy Madjar, Dusty Miller y Selena Larson.
La firma de seguridad empresarial dijo que también detectó a mediados de abril de 2024 otro clúster de actividad apodado ClickFix que empleaba señuelos de actualización de navegadores defectuosos para los visitantes de sitios comprometidos con el fin de propagar Vidar Stealer utilizando un mecanismo similar que implicaba copiar y ejecutar código PowerShell.
Otro actor de amenazas que ha adoptado la misma táctica de ingeniería social en sus campañas de mal spam es TA571, que ha sido observado enviando correos electrónicos con archivos HTML adjuntos que, al abrirlos, muestran un mensaje de error: "La extensión 'Word Online' no está instalada en su navegador".
El mensaje también presenta dos opciones: "Cómo solucionarlo" y "Auto-fix". Si la víctima selecciona la primera opción, se copia en el portapapeles del ordenador un comando PowerShell codificado en Base64, seguido de instrucciones para iniciar un terminal PowerShell y hacer clic con el botón derecho del ratón en la ventana de la consola para pegar el contenido del portapapeles y ejecutar el código responsable de ejecutar un instalador MSI o un script de Visual Basic (VBS).
Del mismo modo, a los usuarios que acaban seleccionando la opción "Auto-fix" se les muestran archivos alojados en WebDAV denominados "fix.msi" o "fix.vbs" en el Explorador de Windows aprovechando el manejador de protocolo "search-ms:".
Independientemente de la opción elegida, la ejecución del archivo MSI culmina con la instalación de Matanbuchus, mientras que la ejecución del archivo VBS conduce al despliegue de DarkGate.
Otras variantes de la campaña también han dado lugar a la distribución de NetSupport RAT, lo que subraya los intentos de modificar y actualizar los señuelos y las cadenas de ataque a pesar de que requieren una importante interacción por parte del usuario para tener éxito.
"El uso legítimo, y las muchas formas de almacenar el código malicioso, y el hecho de que la víctima ejecute manualmente el código malicioso sin ninguna asociación directa con un archivo, dificulta la detección de este tipo de amenazas", dijo Proofpoint.
"Como el software antivirus y los EDR tienen problemas para inspeccionar el contenido del portapapeles, la detección y el bloqueo deben realizarse antes de que el sitio o HTML malicioso se presente a la víctima".
El desarrollo también se produce cuando eSentire reveló una campaña de malware que aprovecha sitios web parecidos suplantando a Indeed[.]com para lanzar el malware de robo de información SolarMarker a través de un documento señuelo que pretende ofrecer ideas para la formación de equipos.
"SolarMarker utiliza técnicas de envenenamiento de optimización de motores de búsqueda (SEO) para manipular los resultados de los motores de búsqueda y aumentar la visibilidad de los enlaces engañosos", afirma la empresa canadiense de ciberseguridad.
"El uso por parte de los atacantes de tácticas de SEO para dirigir a los usuarios a sitios maliciosos subraya la importancia de ser cautelosos a la hora de hacer clic en los resultados de los motores de búsqueda, aunque parezcan legítimos."
Fuente: thehackernews