El actor de amenaza conocido como Lobo de papel ha sido observado exclusivamente dirigido a entidades rusas con un nuevo implante llamado Powermodul.
La actividad, que tuvo área entre julio y diciembre de 2024, destacó organizaciones en los medios de comunicación, las telecomunicaciones, la construcción, las entidades gubernamentales y los sectores de energía, dijo Kaspersky en un nuevo mensaje publicado el jueves.
Se evalúa que el papel Werewolf, asimismo conocido como Goffee, realizó al menos siete campañas desde 2022, según Bi.Zone, con los ataques dirigidos principalmente al gobierno, la energía, la energía financiera, los medios y otras organizaciones.
Igualmente se ha observado que las cadenas de ataque montadas por el actor de la amenaza incorporan un componente disruptivo, en el que las intrusiones van más allá de la distribución de malware con fines de espionaje para cambiar asimismo las contraseñas pertenecientes a las cuentas de los empleados.
Los ataques en sí se inician a través de correos electrónicos de phishing que contienen un documento de señuelo macro, que, al aclarar y habilitar macros, allana el camino para el despliegue de un troyano de entrada remoto basado en PowerShell conocido como PowerRAT.
El malware está diseñado para ofrecer una carga útil de la próxima etapa, a menudo una traducción personalizada del agente del ámbito mítico conocido como PowerTaskel y Qwakmyagent. Otra utensilio en el Cúmulo del actor de amenaza es un módulo IIS astuto llamado OWOWA, que se utiliza para recuperar las credenciales de Microsoft Outlook ingresadas por los usuarios en el cliente web.
El postrer conjunto de ataques documentados por Kaspersky comienza con un archivo adjunto de archivo de rar astuto que contiene un ejecutable que se disfraza de un PDF o un documento de Word usando una doble extensión (es sostener, *.pdf.exe o *.doc.exe). Cuando se inicia el ejecutable, el archivo decoy se descarga desde un servidor remoto y se muestra al heredero, mientras que la infección continúa a la próximo etapa en segundo plano.
“El archivo en sí es un archivo del sistema de Windows (explorer.exe o xpsrchvw.exe), con parte de su código parcheado con un shellcode astuto”, dijo. “El Code Shell es similar a lo que vimos en ataques anteriores, pero por otra parte contiene un agente mítico ofuscado, que inmediatamente comienza a comunicarse con el servidor de comando y control (C2)”.
La secuencia de ataque alternativa es mucho más elaborada, utilizando un archivo de RAR que incrusta un documento de Microsoft Office con una macro que actúa como un cuentagotas para implementar y editar PowerModul, un script de PowerShell capaz de cobrar y ejecutar scripts de PowerShell adicionales del servidor C2.
Se dice que la puerta trasera se utilizó desde el principio de 2024, con los actores de amenaza inicialmente que lo usan para descargar y ejecutar PowerTaskel en hosts comprometidos. Algunas de las otras cargas efectos que caen por PowerModul se enumeran a continuación –
- Flashfilegrabberque se utiliza para robar archivos de medios extraíbles, como unidades flash, y exfiltrarlos al servidor C2
- FlashFilegrabBerofflineuna variable de FlashFilegrabber que exploración medios extraíbles para archivos con extensiones específicas, y cuando se encuentra, copia el disco locorregional internamente de la carpeta “%Temp% Cachestore Connect “
- Lombriz usbque es capaz de infectar medios extraíbles con una copia de PowerModul
PowerTaskel es funcionalmente similar a PowerModul en el sentido de que asimismo está diseñado para ejecutar scripts de PowerShell enviados por el servidor C2. Pero por otra parte, puede despachar información sobre el entorno objetivo en forma de un mensaje de “efectuar”, así como ejecutar otros comandos recibidos del servidor C2 como tareas. Igualmente está equipado para aumentar los privilegios utilizando la utilidad PSEXEC.
En al menos un caso, se ha descubierto que PowerTaskel recibe un script con un componente de carpetas de FileGrabber que, por otra parte de replicar las características de FlashFileGrabber, incluye la capacidad de resumir archivos de sistemas remotos a través de una ruta de red hardada utilizando el protocolo SMB.
“Por primera vez, emplearon documentos de palabras con guiones VBA maliciosos para infección original”, dijo Kaspersky. “Recientemente, hemos observado que Goffee está abandonando cada vez más el uso de PowerTaskel a auspicio del agente mítico binario durante el movimiento vecino”.
El exposición se produce cuando Bi.zone atribuyó otro conjunto de amenazas llamado Sapphire Werewolf a una campaña de phishing que distribuye una traducción actualizada del robador de amatistas de código descubierto.
El Stealer recupera “credenciales de Telegram y varios navegadores, incluidos Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa y Edge Chromium, así como archivos de configuración de Filezilla y SSH”, dijo la compañía rusa, y agregó que asimismo puede obtener documentos, incluidos los almacenados en medios removibles.
