Se ha observado una nueva campaña de phishing de varias etapas dirigida a usuarios de Rusia con ransomware y un troyano de entrada remoto llamado Amnesia RAT.
“El ataque comienza con señuelos de ingeniería social entregados a través de documentos con temas comerciales elaborados para parecer rutinarios y benignos”, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs, en un desglose técnico publicado esta semana. “Estos documentos y los scripts que los acompañan sirven como distracciones visuales, desviando a las víctimas en dirección a tareas falsas o mensajes de estado mientras la actividad maliciosa se ejecuta silenciosamente en segundo plano”.
La campaña se destaca por un par de razones. En primer oportunidad, utiliza múltiples servicios de estrato pública para distribuir diferentes tipos de cargas avíos. Si proporcionadamente GitHub se utiliza principalmente para distribuir scripts, las cargas binarias se organizan en Dropbox. Esta separación complica los esfuerzos de derribo, mejorando efectivamente la resiliencia.
Otra “característica definitoria” de la campaña, según Fortinet, es el atropello activo de defender no desactivar Microsoft Defender. Defendnot fue arrojado el año pasado por un investigador de seguridad que utiliza el apelativo en lista es3n1n como una forma de engañar al software de seguridad haciéndole creer que ya se ha instalado otro producto antivirus en el host de Windows.
La campaña aprovecha la ingeniería social para distribuir archivos comprimidos, que contienen múltiples documentos señuelo y un entrada directo solapado de Windows (LNK) con nombres de archivos en ruso. El archivo LNK utiliza una doble extensión (“Задание_для_бухгалтера_02отдела.txt.lnk”) para dar la impresión de que es un archivo de texto.
Cuando se ejecuta, ejecuta un comando de PowerShell para recuperar el script de PowerShell de la futuro etapa alojado en un repositorio de GitHub (“github(.)com/Mafin111/MafinREP111”), que luego sirve como un cargador de primera etapa para establecer un punto de apoyo, prepara el sistema para ocultar evidencia de actividad maliciosa y transfiere el flujo de control a las etapas posteriores.
“El script primero suprime la ejecución visible al ocultar mediante programación la ventana de la consola PowerShell”, dijo Fortinet. “Esto elimina cualquier indicador visual inmediato de que se está ejecutando un script. Luego genera un documento de texto señuelo en el directorio de datos de la aplicación tópico del usufructuario. Una vez escrito en el disco, el documento señuelo se abre automáticamente”.
Una vez que se muestra el documento a la víctima para continuar con la artimaña, el script envía un mensaje al atacante utilizando la API de Telegram Bot, informando al cirujano que la primera etapa se ha ejecutado con éxito. A posteriori de un retraso de 444 segundos introducido deliberadamente, el script de PowerShell ejecuta un script de Visual Basic (“SCRRC4ryuk.vbe”) alojado en la misma ubicación del repositorio.
Esto ofrece dos ventajas cruciales: mantiene el cargador frívolo y permite a los actores de amenazas modernizar o reemplazar la funcionalidad de la carga útil sobre la marcha sin tener que introducir ningún cambio en la prisión de ataque.
El script de Visual Basic está muy ofuscado y actúa como el regulador que ensambla la carga útil de la futuro etapa directamente en la memoria, evitando así dejar artefactos en el disco. El script de la etapa final verifica si se está ejecutando con privilegios elevados y, de lo contrario, muestra repetidamente un mensaje de Control de cuentas de usufructuario (UAC) para afectar a la víctima a otorgarle los permisos necesarios. El línea se detiene durante 3000 milisegundos entre intentos.
En la futuro etapa, el malware inicia una serie de acciones para suprimir la visibilidad, contrarrestar los mecanismos de protección de los terminales, realizar reconocimientos, inhibir la recuperación y, en última instancia, implementar las cargas avíos principales.
- Configure las exclusiones de Microsoft Defender para evitar que el software escanee datos de software, archivos de software, escritorio, descargas y el directorio temporal del sistema.
- Utilice PowerShell para desactivar componentes de protección adicionales de Defender
- Implemente defendernot para registrar un producto antivirus hipócrita con la interfaz del Centro de seguridad de Windows y hacer que Microsoft Defender se desactive para evitar posibles conflictos.
- Realice registro y vigilancia del entorno mediante captura de pantalla mediante un módulo .NET dedicado descargado del repositorio de GitHub que toma una captura de pantalla cada 30 segundos, la conserje como una imagen PNG y extrae los datos utilizando un bot de Telegram.
- Deshabilite las herramientas administrativas y de dictamen de Windows alterando los controles de políticas basados en el Registro
- Implementar un mecanismo de secuestro de asociación de archivos de modo que al brindar archivos con ciertas extensiones predefinidas se muestre un mensaje a la víctima, indicándole que se comunique con el actor de la amenaza a través de Telegram.
Una de las cargas avíos finales implementadas a posteriori de desarmar con éxito los controles de seguridad y los mecanismos de recuperación es Amnesia RAT (“svchost.scr”), que se recupera de Dropbox y es capaz de realizar un amplio robo de datos y control remoto. Está diseñado para robar información almacenada en navegadores web, billeteras de criptomonedas, Discord, Steam y Telegram, adyacente con metadatos del sistema, capturas de pantalla, imágenes de cámaras web, audio de micrófono, portapapeles y títulos de ventanas activas.
“La RAT permite una interacción remota completa, incluida la enumeración y terminación de procesos, la ejecución de comandos de shell, la implementación de carga útil arbitraria y la ejecución de malware adicional”, dijo Fortinet. “La exfiltración se realiza principalmente a través de HTTPS utilizando las API de Telegram Bot. Se pueden cargar conjuntos de datos más grandes en servicios de alojamiento de archivos de terceros, como GoFile, con enlaces de descarga transmitidos al atacante a través de Telegram”.
En definitiva, Amnesia RAT facilita el robo de credenciales, el secuestro de sesiones, el fraude financiero y la compendio de datos en tiempo existente, convirtiéndolo en una útil integral para la apropiación de cuentas y los ataques de seguimiento.
La segunda carga útil entregada por el script es un ransomware que se deriva de la grupo de ransomware Hakuna Matata y está configurado para transcribir documentos, archivos, imágenes, medios, código fuente y activos de aplicaciones en el punto final infectado, no sin antaño finalizar cualquier proceso que pueda interferir con su funcionamiento.
Encima, el ransomware controla el contenido del portapapeles y modifica silenciosamente las direcciones de las billeteras de criptomonedas con billeteras controladas por el atacante para redirigir las transacciones. La secuencia de infección finaliza cuando el script implementa WinLocker para restringir la interacción del usufructuario.
“Esta prisión de ataque demuestra cómo las campañas modernas de malware pueden comprometer todo el sistema sin explotar las vulnerabilidades del software”, concluyó Lin. “Al violar sistemáticamente de las características nativas de Windows, las herramientas administrativas y los mecanismos de aplicación de políticas, el atacante desactiva las defensas de los terminales antaño de implementar herramientas de vigilancia persistentes y cargas avíos destructivas”.
Para contrarrestar el atropello de la API del Centro de seguridad de Windows por parte de Defensenot, Microsoft recomienda que los usuarios habiliten la protección contra manipulaciones para evitar cambios no autorizados en la configuración de Defender y monitorear llamadas API sospechosas o cambios en el servicio de Defender.
El ampliación se produce cuando los departamentos de fortuna humanos, paga y filial interna pertenecientes a entidades corporativas rusas han sido atacados por un actor de amenazas UNG0902 para entregar un implante desconocido denominado DUPERUNNER que es responsable de cargar AdaptixC2, un entorno de comando y control (C2). La campaña de phishing, cuyo nombre en código es Operación DupeHike, ha estado en marcha desde noviembre de 2025.
Seqrite Labs dijo que los ataques implican el uso de documentos señuelo centrados en temas relacionados con bonificaciones de empleados y políticas financieras internas para convencer a los destinatarios de que abran un archivo LNK solapado internamente de archivos ZIP que conduce a la ejecución de DUPERUNNER.
El implante se comunica con un servidor foráneo para inquirir y mostrar un documento PDF señuelo, mientras que la creación de perfiles del sistema y la descarga de la baliza AdaptixC2 se llevan a lugar en segundo plano.
En los últimos meses, es probable que las organizaciones rusas igualmente hayan sido atacadas por otro actor de amenazas rastreado como Paper Werewolf (igualmente conocido como GOFFEE), que ha empleado señuelos generados por inteligencia químico (IA) y archivos DLL compilados como complementos XLL de Excel para ofrecer una puerta trasera denominada EchoGather.
“Una vez lanzazo, la puerta trasera recopila información del sistema, se comunica con un servidor de comando y control (C2) codificado y admite la ejecución de comandos y operaciones de transferencia de archivos”, dijo la investigadora de seguridad de Intezer, Nicole Fishbein. “Se comunica con el C2 a través de HTTP(S) utilizando la API WinHTTP”.
