El actor de amenaza conocido como Hombre lobo pegajoso se ha relacionado con los ataques específicos principalmente en Rusia y Bielorrusia con el objetivo de entregar el malware del robador de Lumma mediante un implante previamente indocumentado.
La compañía de ciberseguridad Kaspersky está rastreando la actividad bajo el nombre de Angry Likho, que según tiene un “robusto referencia” para despertar a Likho (igualmente conocido como Core Werewolf, Gamacopy y Pseudogamaredon).
“Sin retención, los ataques de Angry Likho tienden a ser atacados, con una infraestructura más compacta, una escala limitada de implantes y un enfoque en los empleados de grandes organizaciones, incluidas las agencias gubernamentales y sus contratistas”, dijo la compañía rusa.
Se sospecha que los actores de la amenaza son probables oradores rusos nativos hexaedro el uso de ruso fluido en los archivos de cebo utilizados para desencadenar la sujeción de infección. El mes pasado, la compañía de ciberseguridad F6 (anteriormente FACCT) lo describió como un “categoría cibernético pro-ucraniano”.
Se ha contrario que los atacantes destacan principalmente organizaciones en Rusia y Bielorrusia, con cientos de víctimas identificadas en la primera.
Las actividades de intrusión previas asociadas con el categoría han utilizado los correos electrónicos de phishing como un conducto para distribuir varias familias de malware como NetWire, Rhadamanthys, Ozone Rat y una puerta trasera conocida como DarkTrack, la última de las cuales se aguijada a través de un cargador llamado Ande Loader.
La secuencia de ataque implica el uso de correos electrónicos de phishing de aguijada con un archivo adjunto atrapado (por ejemplo, archivos de archivo), interiormente de los cuales hay dos archivos de camino directo (LNK) de Windows y un documento de señuelo genuino.
Los archivos de archivo son responsables de avanzar en la actividad maliciosa a la ulterior etapa, desatando un arduo proceso de varias etapas para implementar el robador de información de Lumma.
“Este implante se creó utilizando el instalador genuino de código despejado, el sistema de instalación scriptable NullSoft y funciona como un archivo de autoextración (SFX)”, dijo Kaspersky.
Se han observado los ataques que incorporan pasos para eludir la detección por parte de los proveedores de seguridad mediante una comprobación de emuladores y entornos de sandboxed, lo que hace que el malware termine o reanude luego de un retraso de 10,000 ms, una técnica igualmente vea en implantes Awaken Likho.
Esta superposición ha planteado la posibilidad de que los atacantes detrás de las dos campañas compartan la misma tecnología o probablemente el mismo categoría que usa un conjunto diferente de herramientas para diferentes objetivos y tareas.
Lumma Stealer está diseñado para compilar información de software del sistema e instalada de dispositivos comprometidos, así como datos confidenciales como cookies, nombres de beneficiario, contraseñas, números de tarjetas bancarias y registros de conexión. Incluso es capaz de robar datos de varios navegadores web, billeteras de criptomonedas, extensiones de navegador Cryptowallet (Metamask), autenticadores y de aplicaciones Anydesk y Keepass.
“Los últimos ataques del categoría utilizan el Lumma Stealer, que recopila una gran cantidad de datos de dispositivos infectados, incluidos los detalles bancarios almacenados en el navegador y los archivos de CryptoWallet”, dijo Kaspersky.
“El categoría se podio en utilidades maliciosas fácilmente disponibles obtenidas de los foros de Darknet, en punto de desarrollar sus propias herramientas. El único trabajo que hacen es escribir mecanismos de entrega de malware al dispositivo de la víctima y elaborar correos electrónicos de phishing dirigidos”.
