Se ha visto una nueva campaña de malware que continúa distribuyendo tres hackers diferentes, como CryptBot, LummaC2 y Rhadamanthys alojados en Content Delivery Network (CDN) desde al menos febrero de 2024.
Cisco Talos ha identificado con increíble confianza esta operación con el actor de amenazas investigado como CoralRaider, los sospechosos de origen vietnamita salieron a la luz a principios de este mes.
Esta evaluación se basa en «una serie de combinaciones y métodos, métodos y técnicas (TTP) de la campaña Rotbot de CoralRaider, incluido el primer vector de archivos de acceso directo de Windows, accesos directos de descifrador de PowerShell y scripts de descarga de carga útil, el método FoDHelper utilizado para evitar el acceso de los usuarios. . Gestión (UAC) de la máquina afectada», dijo la empresa.
La campaña se dirige a varios sectores comerciales de la región, incluidos Estados Unidos, Nigeria, Pakistán, Ecuador, Alemania, Egipto, Reino Unido, Polonia, Filipinas, Noruega, Japón, Siria y Turquía.
La cadena de ataque implica que los usuarios descarguen archivos que pretenden ser archivos de películas desde un navegador web, lo que aumenta la posibilidad de un ataque a gran escala.
«El actor de amenazas utiliza una red de entrega de contenido (CDN) para almacenar los archivos maliciosos en su red en esta campaña, evitando la demora de las solicitudes», dijeron los investigadores de Talos Joey Chen, Chetan Raghuprasad y Alex Karkins. «Un actor utiliza un caché CDN como servidor de descarga para engañar a los defensores de la red».
Se sospecha que el vector inicial para descargar el controlador son los correos electrónicos de phishing, utilizándolos como una forma de difundir enlaces con trampas que apuntan a archivos ZIP que contienen archivos de acceso directo de Windows (LNK).
El archivo de acceso directo, a su vez, ejecuta un script de PowerShell para buscar la aplicación HTML de próxima generación (HTA) alojada en la caché CDN, que a su vez ejecuta el código JavaScript para iniciar el script de PowerShell integrado que ejecuta el proceso sobre la marcha. bajo el radar y finalmente. La descarga ejecuta uno de los tres malware de robo.
Se creó un script modular de PowerShell para evitar el control de acceso de usuarios (UAC) en la máquina de la víctima utilizando un método popular llamado FodHelper, que los actores de amenazas vietnamitas vincularon a otro hacker conocido como NodeStealer que puede robar Facebook. datos de la cuenta.
El malware que roba, independientemente de lo que se implemente, captura la información de sus víctimas, como datos del sistema y del navegador, credenciales, billeteras de criptomonedas e información financiera.
Lo notable de esta campaña es que utiliza una versión actualizada de CryptBot que se suma a nuevas técnicas anti-escaneo y captura bases de datos de software de administración de contraseñas e información del software de escaneo.