Ciberseguridad 360 | Utilizan imágenes como armas para ataques de malware a gran escala

Se ha observado que la amenaza rastreada como TA558 utiliza la esteganograf�a como t�cnica de ofuscaci�n para distribuir una amplia gama de malware, como Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger y XWorm, entre otros.

"El grupo hizo un uso extensivo de la esteganograf�a mediante el env�o de VBS, c�digo PowerShell, as� como documentos RTF con un exploit incrustado, dentro de im�genes y archivos de texto", dijo la empresa rusa de ciberseguridad Positive Technologies en un informe el lunes.

La campa�a ha recibido el nombre en clave de SteganoAmor por su uso de la esteganograf�a y la elecci�n de nombres de archivo como greatloverstory.vbs y easytolove.vbs.

La mayor�a de los ataques se han dirigido a los sectores industrial, de servicios, p�blico, el�ctrico y de la construcci�n de pa�ses latinoamericanos, aunque tambi�n se ha atacado a empresas de Rusia, Ruman�a y Turqu�a.

El desarrollo se produce cuando TA558 tambi�n ha sido visto desplegando Venom RAT a trav�s de ataques de phishing dirigidos a empresas ubicadas en Espa�a, M�xico, Estados Unidos, Colombia, Portugal, Brasil, Rep�blica Dominicana y Argentina.

Todo comienza con un correo electr�nico de phishing que contiene un archivo adjunto de Microsoft Excel que explota un fallo de seguridad ya parcheado en Equation Editor (CVE-2017-11882) para descargar un script de Visual Basic que, a su vez, obtiene la carga �til de la siguiente etapa de paste[.]ee.

El c�digo malicioso ofuscado se encarga de descargar dos im�genes desde una URL externa que vienen incrustadas con un componente codificado en Base64 que, en �ltima instancia, recupera y ejecuta el malware Agent Tesla en el host comprometido.

Adem�s del Agente Tesla, otras variantes de la cadena de ataque han dado lugar a un surtido de malware como FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger y XWorm, dise�ados para el acceso remoto, el robo de datos y la entrega de cargas �tiles secundarias.

Los correos electr�nicos de phishing se env�an desde servidores SMTP leg�timos, pero comprometidos, para dar a los mensajes un poco de credibilidad y minimizar las posibilidades de que sean bloqueados por las puertas de enlace de correo electr�nico. Adem�s, se ha descubierto que TA558 utiliza servidores FTP infectados para almacenar los datos robados.

La revelaci�n se produce en el contexto de una serie de ataques de phishing dirigidos a organizaciones gubernamentales de Rusia, Bielorrusia, Kazajst�n, Uzbekist�n, Kirguist�n, Tayikist�n y Armenia con un malware apodado LazyStealer para obtener credenciales de Google Chrome.

Positive Technologies est� rastreando el cl�ster de actividad bajo el nombre de Lazy Koala en referencia al nombre del usuario (joekoala), que se dice que controla los bots de Telegram que reciben los datos robados.

Dicho esto, la geograf�a de las v�ctimas y los artefactos del malware indican posibles v�nculos con otro grupo de hackers rastreado por Cisco Talos bajo el nombre de YoroTrooper (alias SturgeonPhisher).

"La herramienta principal del grupo es un robador primitivo, cuya protecci�n ayuda a evadir la detecci�n, ralentizar el an�lisis, agarrar todos los datos robados y enviarlos a Telegram, que ha ido ganando popularidad entre los actores maliciosos por a�o", dijo el investigador de seguridad Vladislav Lunin.

Los hallazgos tambi�n se producen tras una oleada de campa�as de ingenier�a social dise�adas para propagar familias de malware como FatalRAT y SolarMarker.

Fuente: thehackernews