Una nueva campaña de phishing apunta contra objetivos específicos tratando de distribuir diversos troyanos de acceso remoto (RAT). Acorde a los investigadores de Cisco Talos Intelligence, esta campaña de hacking fue identificada como “Fajan” y podría estar siendo operada desde un país de habla árabe.
Los expertos creen que esta campaña habría comenzado a inicios de marzo, comenzando con el compromiso de objetivos “de bajo perfil” para determinar si las muestras de malware estaban distribuidas correctamente o bien hacía falta realizar algún proceso de depuración.
Los ataques comienzan en forma de emails especialmente dirigidos a clientes de Bloomberg Industry Group. Esta compañía agrega contenido de noticias en plataformas para diversas industrias, como leyes, impuestos y contabilidad, y gobierno, y las vende a sus diversos clientes.
Los atacantes aseguran que estos emails contienen facturas, aunque en su lugar incluyen archivos de Excel con un código oculto que inicia la descarga de una carga útil que contiene el RAT, basado en JavaScript o VB: “Esto permite a los hackers tomar el control del sistema infectado empleando HTTP a través de un puerto TCP”, menciona el reporte de seguridad.
Además, el uso de RAT como cargas útiles indica que el objetivo de los hackers es el monitoreo de las víctimas y el robo de datos. No obstante, los servidores C&C malicioso no respondieron cuando los investigadores hicieron su análisis, por lo que no fue posible determinar los objetivos reales de los actores de amenazas.
Uno de los troyanos detectados por los especialistas fue identificado como NanoCore RAT, y es un troyano comercial que ha estado disponible para su compra desde al menos 2013. El autor de este troyano fue detenido en 2017 y condenado a tres años de prisión; aunque esto interrumpió el desarrollo del RAT, muchas variantes similares siguen apareciendo.
El mismo vector de ataque fue encontrado en aproximadamente el 60% de las campañas analizadas. El resto de los archivos adjuntos maliciosos contenían fórmulas macro de Excel 4.0 diseñadas para ejecutarse cuando los archivos están abiertos y todos contienen un código simple para ejecutar una línea de comandos de PowerShell para descargar y ejecutar la siguiente etapa desde una URL de Pastebin.
Los investigadores seguirán analizando estos incidentes para tratar de determinar la identidad y objetivos de los atacantes. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
