Un actor de amenazas está utilizando publicaciones falsas de LinkedIn y mensajes directos sobre un puesto de especialista en anuncios de Facebook en el fabricante de hardware Corsair para atraer a las personas a descargar malware que roba información como DarkGate y RedLine.
La empresa de ciberseguridad WithSecure detectó la actividad y rastreó la actividad del grupo, mostrando en un informe hoy que está vinculado a grupos de ciberdelincuentes vietnamitas responsables de las campañas ‘Ducktail’ descubiertas por primera vez el año pasado.
Estas campañas tienen como objetivo robar valiosas cuentas comerciales de Facebook que pueden usarse para publicidad maliciosa o venderse a otros ciberdelincuentes.
DarkGate se detectó por primera vez en 2017, pero su despliegue siguió siendo limitado hasta junio de 2023, cuando su autor decidió vender el acceso al malware a un público más amplio.
Ejemplos recientes del uso de DarkGate incluyen ataques de phishing a través de Microsoft Teams que empujan la carga útil y aprovechar las cuentas de Skype comprometidas para enviar scripts VBS para desencadenar una cadena de infección que conduce al malware.
Señuelo corsario
Los actores de amenazas vietnamitas se dirigieron principalmente a usuarios en los EE. UU., el Reino Unido y la India, que ocupan puestos de administración de redes sociales y es probable que tengan acceso a cuentas comerciales de Facebook. El señuelo se entrega a través de LinkedIn e implica una oferta de trabajo en Corsair.
Se engaña a los objetivos para que descarguen archivos maliciosos de una URL(«g2[.] by/corsair-JD») que redirige a Google Drive o Dropbox para soltar un archivo ZIP («Salario y nuevos») con un documento PDF o DOCX y un archivo TXT con los siguientes nombres:
- Descripción del trabajo de Corsair.docx
- Salario y nuevos productos.txt
- PDF Salario y Productos.pdf
Los investigadores de WithSecure analizaron los metadatos de los archivos anteriores y encontraron pistas para la distribución del ladrón RedLine.
El archivo descargado contiene un script VBS, posiblemente incrustado en el archivo DOCX, que copia y cambia el nombre de ‘curl.exe’ a una nueva ubicación y lo aprovecha para descargar ‘autoit3.exe’ y un script Autoit3 compilado.
El ejecutable inicia el script, y este último se desofusca a sí mismo y construye DarkGate utilizando cadenas presentes en el script.
Treinta segundos después de la instalación, el malware intenta desinstalar los productos de seguridad del sistema comprometido, lo que indica la existencia de un proceso automatizado.
LinkedIn introdujo funciones para combatir el abuso en la plataforma a fines del año pasado que pueden ayudar a los usuarios a determinar si una cuenta es sospechosa o falsa. Sin embargo, corresponde a los usuarios verificar la información verificada antes de comunicarse con una nueva cuenta.
WithSecure ha publicado una lista de indicadores de compromiso (IoC) que podrían ayudar a las organizaciones a defenderse de la actividad de este actor de amenazas. Los detalles incluyen las direcciones IP, los dominios utilizados, las URL, los metadatos de los archivos y los nombres de los archivos.
Fuente y redacción: underc0de.org
