Los investigadores de ciberseguridad han revelado una nueva campaña maliciosa que utiliza un sitio web traidor de software antivirus de publicidad de Bitdefender para engañar a las víctimas para descargar un troyano de entrada remoto llamado Venom Rat.
La campaña indica una “intención clara de atacar a las personas para obtener ganancias financieras al comprometer sus credenciales, las billeteras criptográficas y la traspaso potencial de entrada a sus sistemas”, dijo el equipo de inteligencia de Doma -DomaTools (DTI) en un nuevo documentación compartido con Hacker News.
El sitio web en cuestión, “BitDefender-Download (.) Com”, anuncia a los visitantes del sitio para descargar una interpretación de Windows del software antivirus. Al hacer clic en el pimpollo destacado “Descargar para Windows”, inicia una descarga de archivo desde un repositorio de Bitbucket que redirige a un cubo de Amazon S3. La cuenta BitBucket ya no está activa.
El archivo ZIP (“bitdefender.zip”) contiene un ejecutable llamado “storeInstaller.exe”, que incluye configuraciones de malware asociadas con Venom Rat, así como un código relacionado con el entorno posterior a la explotación de código rajado SilentTrinity y Stormkitty Staaler.
Venom Rat es una rama de cuásar rata que viene con capacidades para cosechar datos y proporcionar entrada remoto persistente a los atacantes.
DomaTools dijo que el sitio web de señuelo disfrazado de bitdefender comparte una superposición de infraestructura temporal e infraestructura con otros dominios maliciosos que falsifican bancos y servicios de TI genéricos que se han utilizado como parte de la actividad de phishing para cosechar credenciales de inicio de sesión asociadas con Royal Bank of Canada y Microsoft.
“Estas herramientas funcionan en concierto: Venom Rat se cuela, Stormkitty toma sus contraseñas e información de billetera digital, y SilentTrinity asegura que el atacante pueda permanecer oculto y perseverar el control”, dijo la compañía.
“Esta campaña subraya una tendencia constante: los atacantes están utilizando malware sofisticado y modular construido a partir de componentes de código rajado. Este enfoque de” construir malware “hace que estos ataques sean más eficientes, sigilosos y adaptables”.
La divulgación se produce cuando Sucuri advirtió sobre una campaña de estilo ClickFix que emplea a las páginas de Google Meet de Google para engañar a los usuarios para que instalaran noanti-vm.bat rat, un script de lotes de Windows fuertemente ofuscado que otorga control remoto sobre la computadora de la víctima.
“Esta página falsa de Google Meet no presenta un formulario de inicio de sesión para robar las credenciales directamente”, dijo la investigadora de seguridad Puja Srivastava. “En cambio, emplea una táctica de ingeniería social, presentando un error traidor de ‘Micrófono Denegió’ Error e insta al becario a copiar y pegar un comando específico de PowerShell como una ‘posibilidad'”.
Incluso sigue un aumento en los ataques de phishing que explotan la plataforma de incremento sin código de la hoja de aplicaciones de Google para valer una campaña enormemente específica y sofisticada que se hace acaecer por Meta.
“Utilizando tácticas de última procreación, como identificadores polimórficos, mecanismos avanzados de proxy de man-in-the-Middle y técnicas de omisión de autenticación multifactor, los atacantes apuntan a cosechar credenciales y códigos de autenticación de dos factores (2FA), lo que permite el entrada a tiempo auténtico a las cuentas de redes sociales”, el laboratorio de amenazas de WABBE4 en un documentación.
La campaña implica el uso de la hoja de aplicación para entregar correos electrónicos de phishing a escalera, lo que permite a los actores de amenaza evitar defensas de seguridad de correo electrónico como SPF, DKIM y DMARC adecuado al hecho de que los mensajes se originan en un dominio válido (“noreply@appsheet (.) Com”).
Por otra parte, los correos electrónicos afirman ser del soporte de Facebook y emplean advertencias de aniquilación de cuentas para engañar a los usuarios para que haga clic en enlaces falsos con el pretexto de dirigir una apelación internamente de un período de tiempo de 24 horas. Los enlaces atrapados en bobado llevan a las víctimas a una página de phishing adversario en el medio (AITM) diseñada para cosechar sus credenciales y códigos de autenticación de dos factores (2FA).
“Para evitar aún más la detección y complicar la remediación, los atacantes aprovechan la funcionalidad de las hojas de aplicación para gestar identificaciones únicas, mostradas como ID de caso en el cuerpo del correo electrónico”, dijo la compañía.
“La presencia de identificadores polimórficos únicos en cada correo electrónico de phishing garantiza que cada mensaje sea levemente diferente, ayudándoles a evitar los sistemas de detección tradicionales que dependen de indicadores estáticos como hashes o URL maliciosas conocidas”.
