Investigadores de ciberseguridad han descubierto una nueva campaña de phishing que propaga una nueva variante sin archivos de un malware comercial conocido llamado Remcos RAT .
Remcos RAT «ofrece a los compradores una amplia gama de funciones avanzadas para controlar de forma remota las computadoras pertenecientes al comprador», dijo el investigador de Fortinet FortiGuard Labs, Xiaopeng Zhang, en un análisis publicado la semana pasada.
«Sin embargo, los actores de amenazas han abusado de Remcos para recopilar información confidencial de las víctimas y controlar de forma remota sus computadoras para realizar otros actos maliciosos».
El punto de partida del ataque es un correo electrónico de phishing que utiliza señuelos con temas de órdenes de compra para convencer a los destinatarios de que abran un archivo adjunto de Microsoft Excel.
El documento malicioso de Excel está diseñado para explotar una falla conocida de ejecución de código remoto en Office ( CVE-2017-0199 , puntuación CVSS: 7.8) para descargar un archivo de aplicación HTML (HTA) («cookienetbookinetcahce.hta») desde un servidor remoto («192.3.220[.]22») y ejecutarlo usando mshta.exe.
El archivo HTA, por su parte, está envuelto en múltiples capas de código JavaScript, Visual Basic Script y PowerShell para evadir su detección. Su principal responsabilidad es recuperar un archivo ejecutable del mismo servidor y ejecutarlo.
Posteriormente, el binario procede a ejecutar otro programa PowerShell ofuscado, al tiempo que adopta una serie de técnicas antianálisis y antidepuración para complicar los esfuerzos de detección. En el siguiente paso, el código malicioso aprovecha el vaciado de procesos para finalmente descargar y ejecutar Remcos RAT.
«En lugar de guardar el archivo Remcos en un archivo local y ejecutarlo, Remcos se implementa directamente en la memoria del proceso actual», explicó Zhang. «En otras palabras, es una variante de Remcos sin archivos».
Remcos RAT está equipado para recopilar varios tipos de información del host comprometido, incluidos metadatos del sistema, y puede ejecutar instrucciones emitidas de forma remota por el atacante a través de un servidor de comando y control (C2).
Estos comandos permiten al programa recolectar archivos, enumerar y finalizar procesos, administrar servicios del sistema, editar el Registro de Windows, ejecutar comandos y scripts, capturar contenido del portapapeles, alterar el fondo de pantalla del escritorio de una víctima, habilitar la cámara y el micrófono, descargar cargas útiles adicionales, grabar la pantalla e incluso deshabilitar la entrada del teclado o el mouse.
La revelación se produce cuando Wallarm reveló que los actores de amenazas están abusando de las API de Docusign para enviar facturas falsas que parecen auténticas en un intento de engañar a usuarios desprevenidos y realizar campañas de phishing a gran escala.
El ataque implica la creación de una cuenta legítima de pago de Docusign que permite a los atacantes cambiar las plantillas y utilizar la API directamente. Las cuentas se utilizan luego para crear plantillas de facturas especialmente diseñadas que imitan solicitudes de firma electrónica de documentos de marcas conocidas como Norton Antivirus.
«A diferencia de las estafas de phishing tradicionales que se basan en correos electrónicos engañosamente diseñados y enlaces maliciosos, estos incidentes utilizan cuentas y plantillas genuinas de DocuSign para hacerse pasar por empresas confiables, tomando por sorpresa a los usuarios y las herramientas de seguridad», dijo la compañía .
«Si los usuarios firman electrónicamente este documento, el atacante puede usar el documento firmado para solicitar el pago a la organización fuera de DocuSign o enviar el documento firmado a través de DocuSign al departamento de finanzas para el pago».
También se han observado campañas de phishing que aprovechan una táctica poco convencional llamada concatenación de archivos ZIP para eludir las herramientas de seguridad y distribuir troyanos de acceso remoto a los objetivos.
El método implica agregar múltiples archivos ZIP en un solo archivo, lo que genera problemas de seguridad debido a la discrepancia en la forma en que diferentes programas como 7-Zip, WinRAR y el Explorador de archivos de Windows descomprimen y analizan dichos archivos, lo que genera un escenario en el que se pasan por alto las cargas maliciosas.
«Al explotar las diferentes formas en que los lectores ZIP y los administradores de archivos procesan archivos ZIP concatenados, los atacantes pueden incorporar malware dirigido específicamente a los usuarios de ciertas herramientas», señaló Perception Point en un informe reciente.
«Los actores de amenazas saben que estas herramientas a menudo pasan por alto o no detectan el contenido malicioso oculto en archivos concatenados, lo que les permite enviar su carga sin ser detectados y atacar a los usuarios que usan un programa específico para trabajar con archivos».
El desarrollo también ocurre cuando un actor de amenazas conocido como Venture Wolf ha sido vinculado a ataques de phishing dirigidos a los sectores de fabricación, construcción, TI y telecomunicaciones rusos con MetaStealer , una bifurcación del malware RedLine Stealer.
Fuente y redacción: thehackernews.com