Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing PHANTOMPULSE RAT

PHANTOMPULSE RAT

El Mezo el Phishing, Eines d'administració remota
Traduir a:

Ha sorgit una sofisticada campanya d'enginyeria social que explota Obsidian com a vector d'accés inicial per desplegar un troià d'accés remot de Windows prèviament indocumentat conegut com a PHANTOMPULSE. La campanya s'adreça específicament a persones que operen en els sectors financer i de criptomoneda, aprofitant la confiança en eines legítimes per eludir les expectatives de seguretat tradicionals.

Operació REF6598: Engany a través de xarxes professionals

Designada com a REF6598 per investigadors de ciberseguretat, aquesta campanya utilitza tècniques avançades d'enginyeria social a través de LinkedIn i Telegram. Inicialment s'aborda els objectius amb el pretext de col·laboració amb una empresa de capital risc. Posteriorment, les converses es transfereixen a xats de grup de Telegram poblats per "socis" suplantats, creant una façana convincent de legitimitat.

Dins d'aquests grups, les discussions giren al voltant dels serveis financers i les estratègies de liquiditat de les criptomonedes, cosa que reforça la credibilitat. Finalment, s'indica a les víctimes que accedeixin a un tauler de control compartit a través d'una caixa forta d'Obsidian allotjada al núvol utilitzant les credencials proporcionades.

El desencadenant ocult: activació maliciosa de la volta

La cadena d'infecció s'activa quan la víctima obre la volta compartida dins d'Obsidian. En aquesta etapa, es demana a l'usuari que activi la sincronització per als "Complements de la comunitat instal·lats", una funció desactivada per defecte. Aquesta acció manual és crítica, ja que permet que s'executin configuracions malicioses incrustades.

Els atacants exploten complements legítims, concretament les ordres de Shell i Hider, per executar codi no autoritzat. Mentre que les ordres de Shell faciliten l'execució, Hider oculta elements de la interfície com ara la barra d'estat i les descripcions emergents, cosa que redueix la probabilitat de detecció. L'atac depèn completament de convèncer l'usuari perquè activi la sincronització de complements, evitant així les salvaguardes integrades.

Evasió per disseny: Vivint de característiques legítimes

Aquesta campanya destaca pel seu abús estratègic de la funcionalitat de les aplicacions de confiança en lloc d'explotar les vulnerabilitats del programari. Les característiques clau inclouen:

  • Les càrregues útils malicioses estan incrustades dins dels fitxers de configuració JSON, cosa que fa que sigui menys probable que activin la detecció tradicional d'antivirus.
  • L'execució es realitza mitjançant una aplicació basada en Electron signada, cosa que complica la detecció basada en processos pares.
  • La persistència i l'execució d'ordres depenen completament de mecanismes de complements legítims dins de l'aplicació.

Cadena d’infecció de Windows: del carregador a la porta del darrere resident a la memòria

En sistemes Windows, l'atac inicia una cadena d'execució basada en PowerShell que desplega un carregador intermedi anomenat PHANTOMPULL. Aquest carregador desxifra i llança PHANTOMPULSE directament a la memòria, evitant la detecció basada en disc.

PHANTOMPULSE incorpora la resolució de Comandament i Control (C2) basada en blockchain consultant la xarxa Ethereum. Recupera la darrera transacció vinculada a una adreça de moneder codificada per determinar dinàmicament el seu servidor C2. La comunicació es realitza mitjançant WinHTTP, permetent l'exfiltració de dades, la recuperació de comandes i els informes d'execució.

El programari maliciós admet un ampli conjunt de funcions de control remot:

  • inject: injecta codi shell, DLL o executables en processos
  • drop: escriu i executa fitxers al disc
  • captura de pantalla: captura i carrega dades de pantalla
  • keylog: activa o desactiva el registre de pulsacions de tecles
  • desinstal·lació: elimina els mecanismes de persistència i neteja els artefactes
  • elevate: escala privilegis a SYSTEM mitjançant l'elevació COM
  • downgrade: redueix els privilegis del nivell de SISTEMA al d'administrador

Variant de macOS: Ofuscació i infraestructura C2 flexible

A macOS, l'atac aprofita un AppleScript ofuscat lliurat a través del mateix mecanisme de complement. L'script recorre ciclicament una llista predefinida de dominis i utilitza Telegram com a resolutor de dead-drop de reserva per al descobriment C2. Aquest disseny permet una rotació ràpida de la infraestructura, fent que les estratègies tradicionals de bloqueig de dominis siguin ineficaces.

La fase final implica recuperar i executar una càrrega útil secundària mitjançant osascript. Tanmateix, a causa dels servidors C2 inactius en el moment de l'anàlisi, les capacitats completes d'aquesta càrrega útil romanen indeterminades.

Resultat de l’atac i implicacions estratègiques

La intrusió observada finalment no va tenir èxit, ja que les mesures defensives van detectar i bloquejar l'atac abans que s'aconseguissin els objectius. No obstant això, REF6598 destaca una evolució significativa en la metodologia dels actors d'amenaces.

En explotar aplicacions de confiança i basar-se en canvis de configuració impulsats per l'usuari, els adversaris eviten eficaçment els controls de seguretat convencionals. Aquest enfocament subratlla una tendència creixent: la transformació de funcions de programari legítimes en instruments defensius com a canals d'execució encoberts, cosa que emfatitza la necessitat d'una major consciència dels usuaris i una supervisió del comportament en les defenses de ciberseguretat.

Tendència

Més vist

Carregant...