Programari maliciós IMAPLoader

El grup d'amenaces cibernètiques Tortoiseshell, connectat a l'Iran, s'ha relacionat amb un augment recent d'atacs als forats. Aquests atacs tenen com a objectiu alliberar una soca de programari maliciós coneguda com IMAPLoader.

IMAPLoader, classificat com a programari maliciós .NET, té la capacitat de perfilar sistemes objectiu mitjançant eines natives de Windows. La seva funció principal és servir com a descarregador de càrregues útils malicioses addicionals. El programari maliciós utilitza el correu electrònic com a canal de comandament i control (C2, C&C), cosa que li permet executar càrregues útils recuperades dels fitxers adjunts de correu electrònic. A més, inicia l'execució mitjançant el desplegament de nous serveis.

Tortoiseshell és un actor d'amenaça associat a nombroses campanyes d'atac

Funcionant almenys des del 2018, Tortoiseshell té un historial d'emprar compromisos estratègics de llocs web per facilitar la distribució de programari maliciós. A principis de 2023, els investigadors van identificar el grup com a responsable de la violació de vuit llocs web vinculats a empreses d'enviament, logística i serveis financers a Israel.

Aquest actor d'amenaça està associat amb el Cos de la Guàrdia Revolucionària Islàmica (IRGC). És reconegut per la comunitat de ciberseguretat més àmplia amb diversos noms, com ara Crimson Sandstorm (abans Curium), Imperial Kitten, TA456 i Yellow Liderc.

En la recent onada d'atacs que va abastar des del 2022 fins al 2023, el grup va utilitzar la tàctica d'incrustar JavaScript amenaçador en llocs web legítims compromesos. Aquest enfocament pretenia recopilar informació detallada sobre els visitants, incloent la seva ubicació, els detalls del dispositiu i el moment de les seves visites.

Els objectius específics d'aquestes intrusions eren els sectors marítim, marítim i logístic a la regió mediterrània. En determinats casos, aquests atacs van provocar el desplegament d'IMAPLoader com a càrrega útil posterior, especialment quan es considerava que la víctima era un objectiu d'alt valor.

El programari maliciós IMAPLoader és un component essencial en una cadena d'atac en diverses etapes

Es diu que IMAPLoader és un substitut d'un implant IMAP basat en Python que s'utilitzava anteriorment a finals de 2021 i principis de 2022, a causa de les similituds en la funcionalitat. El programari maliciós actua com a descàrrega de càrregues útils de la següent etapa consultant comptes de correu electrònic IMAP codificats, específicament comprovant una carpeta de bústia mal escrita com a "Rebre" per recuperar els executables dels fitxers adjunts del missatge.

En una cadena d'atac alternativa, s'utilitza un document d'engany de Microsoft Excel com a vector inicial per iniciar un procés de diverses etapes per lliurar i executar IMAPLoader, cosa que indica que l'actor de l'amenaça utilitza nombroses tàctiques i tècniques per assolir els seus objectius estratègics.

Els investigadors també han descobert llocs de pesca creats per Tortoiseshell, alguns dels quals estan dirigits als sectors de viatges i hostaleria d'Europa, per dur a terme la recollida de credencials mitjançant pàgines falses d'inici de sessió de Microsoft.

Aquest actor d'amenaça continua sent una amenaça activa i persistent per a moltes indústries i països, inclosos els sectors marítim, marítim i logístic de la Mediterrània; les indústries nuclear, aeroespacial i de defensa als EUA i Europa i els proveïdors de serveis gestionats per TI a l'Orient Mitjà. Les actualitzacions sovint inclouen solucions crucials per a les vulnerabilitats que podrien ser explotades pels ciberdelinqüents. La validació de les actualitzacions automàtiques és una manera còmoda d'assegurar-vos que el vostre dispositiu estigui fort contra les amenaces emergents.