Operació d'atac SteganoAmor
El grup de pirateria TA558 ha iniciat una nova campanya, utilitzant esteganografia per incrustar codi nociu a les imatges. Aquesta tècnica els permet distribuir clandestinament una sèrie d'eines de programari maliciós en sistemes específics, evitant la detecció tant per part dels usuaris com del programari de seguretat.
Des del 2018, TA558 ha representat una amenaça important, dirigida principalment a entitats hoteleres i turístiques de tot el món, amb un enfocament notable a Amèrica Llatina. Recentment, els experts en ciberseguretat van presentar el seu darrer esforç, anomenat "SteganoAmor", destacant la seva gran dependència de l'esteganografia. L'anàlisi va revelar més de 320 atacs associats a aquesta campanya, que van afectar diversos sectors i països.
Taula de continguts
SteganoAmor comença amb la difusió de correus electrònics fraudulents
L'atac comença amb correus electrònics enganyosos que porten documents adjunts aparentment inofensius, normalment en format Excel o Word, aprofitant la vulnerabilitat CVE-2017-11882. Aquest defecte, que va afectar l'Editor d'equacions de Microsoft Office i que es va corregir el 2017, serveix com a objectiu comú. Aquests correus electrònics s'envien des de servidors SMTP compromesos per millorar la seva legitimitat i reduir la probabilitat de ser bloquejats.
En els casos en què s'utilitza una versió obsoleta de Microsoft Office, l'explotació activa la descàrrega d'un script de Visual Basic (VBS) des del servei legítim "enganxa en obrir el fitxer.ee". Posteriorment, aquest script s'executa per recuperar un fitxer d'imatge (JPG) que conté una càrrega útil codificada en base 64. Dins de l'script incrustat a la imatge, el codi PowerShell facilita la recuperació de la càrrega útil final, oculta dins d'un fitxer de text i codificada en format base64 invertit.
Nombroses amenaces nocives desplegades com a càrregues útils finals
Els investigadors han observat nombroses iteracions de la cadena d'atac, cadascuna introduint una àmplia gamma de famílies de programari maliciós. Entre aquests es troben AgentTesla , que funciona com a programari espia capaç de registrar tecles i robar credencials; FormBook, especialitzat en la recollida de credencials i l'execució d'ordres remotes; Remcos , que permet la gestió i vigilància de màquines a distància; LokiBot , orientat a dades sensibles de diverses aplicacions; Gulo a der, que serveix com a descàrrega de càrregues útils secundàries, Snake Keylogger , captura de tecles i credencials i XWorm , que concedeix accés remot a ordinadors compromesos.
Les càrregues útils finals i els scripts fraudulents sovint es refugien en serveis al núvol de bona reputació com Google Drive per explotar la seva reputació favorable i evadir la detecció anti-malware. La informació recollida es transmet a servidors FTP legítims compromesos, emmascarant el trànsit perquè sembli normal. S'han identificat més de 320 atacs, amb un enfocament principal als països llatinoamericans, tot i que l'abast de l'objectiu s'estén a nivell mundial.
El phishing segueix sent una eina extremadament potent a l'arsenal de cibercriminals
Els experts en infosec han posat a la llum una sèrie d'atacs de pesca llançats per ciberdelinqüents dirigits a organitzacions governamentals de Rússia, Bielorússia, Kazakhstan, Uzbekistan, Kirguizistan, Tadjikistan i Armènia. Aquests atacs implementen un programari maliciós anomenat LazyStealer, dissenyat específicament per extreure credencials de Google Chrome. Els investigadors estan monitoritzant aquesta sèrie d'atacs, coneguda col·lectivament com a Lazy Koala, que porta el nom del suposat controlador dels robots de Telegram que reben les dades robades.
A més, l'anàlisi de la demografia de les víctimes i les característiques del programari maliciós suggereix possibles connexions amb un altre grup de pirates informàtics conegut com YoroTrooper (també conegut com SturgeonPhisher). L'eina principal que utilitza aquest grup és un lladre rudimentari, que empra mesures de protecció per evitar la detecció, dificultar l'anàlisi, recopilar totes les dades robades i transmetre-les mitjançant Telegram. Telegram ha estat cada cop més afavorit per actors maliciosos com a mitjà de comunicació segur.
