Se ha observado una nueva campaña de phishing que aprovecha un novedoso cargador de malware para entregar un ladrón de información y registrador de pulsaciones llamado Agent Tesla.
Trustwave SpiderLabs dijo que identificó un correo electrónico de phishing con esta cadena de ataque el 8 de marzo de 2024. El mensaje se hace pasar por una notificación de pago bancario, instando al usuario a abrir un archivo adjunto.
El archivo («Bank Handlowy w Warszawie – dowód wpłaty_pdf.tar.gz») oculta un cargador malicioso que activa el procedimiento para implementar el Agente Tesla en el host comprometido.
«Este cargador luego utilizó la ofuscación para evadir la detección y aprovechó el comportamiento polimórfico con métodos complejos de descifrado», dijo el investigador de seguridad Bernard Bautista en un análisis del martes.
«El cargador también mostró la capacidad de eludir las defensas antivirus y recuperó su carga útil utilizando URL específicas y agentes de usuario que aprovechan los servidores proxy para ofuscar aún más el tráfico».
Táctica del phishing dentro de archivos
La táctica de incrustar malware dentro de archivos aparentemente benignos es una táctica que los actores de amenazas han empleado repetidamente para engañar a víctimas desprevenidas para que desencadenen la secuencia de infección.
El cargador utilizado en el ataque está escrito en .NET, y Trustwave descubrió dos variantes distintas, cada una de las cuales utiliza una rutina de descifrado diferente para acceder a su configuración y, en última instancia, recuperar la carga útil del Agente Tesla codificada con XOR de un servidor remoto.
En un esfuerzo por evadir la detección, el cargador también está diseñado para omitir la interfaz de escaneo antimalware de Windows ( AMSI ), que ofrece la capacidad del software de seguridad para escanear archivos, memoria y otros datos en busca de amenazas.
Lo logra «parcheando la función AmsiScanBuffer para evadir el escaneo de malware del contenido en memoria», explicó Bautista.
Ejecutar el Agente Tesla
La última fase implica decodificar y ejecutar el Agente Tesla en la memoria, lo que permite a los actores de amenazas filtrar sigilosamente datos confidenciales a través de SMTP utilizando una cuenta de correo electrónico comprometida asociada con un proveedor legítimo de sistemas de seguridad en Turquía («merve@temikan[.]com[.]tr «).
El enfoque, dijo Trustwave, no sólo no genera ninguna señal de alerta, sino que también ofrece una capa de anonimato que hace que sea más difícil rastrear el ataque hasta el adversario, sin mencionar que ahorra el esfuerzo de tener que establecer canales de exfiltración dedicados.
«[El cargador] emplea métodos como parches para evitar la detección de la interfaz de escaneo antimalware (AMSI) y cargar dinámicamente cargas útiles, asegurando una ejecución sigilosa y minimizando los rastros en el disco», dijo Bautista. «Este cargador marca una evolución notable en las tácticas de despliegue del Agente Tesla».
La revelación se produce cuando BlueVoyant descubrió otra actividad de phishing realizada por un grupo de cibercrimen llamado TA544 que aprovecha archivos PDF disfrazados de facturas legales para propagar WikiLoader (también conocido como WailingCrab) y establecer conexiones con un servidor de comando y control (C2) que abarca casi exclusivamente archivos pirateados. Sitios de WordPress.
Falla de seguridad de Windows
Vale la pena señalar que TA544 también utilizó como arma una falla de derivación de seguridad de Windows rastreada como CVE-2023-36025 en noviembre de 2023 para distribuir Remcos RAT a través de una familia de cargadores diferente denominada IDAT Loader , lo que le permite tomar el control de los sistemas infectados.
Los hallazgos también siguen a un aumento en el uso de un kit de phishing llamado Tycoon, que según Sekoia se ha «convertido en uno de los kits de phishing [adversario en el medio] más difundidos en los últimos meses, con más de 1.100 nombres de dominio. detectado entre finales de octubre de 2023 y finales de febrero de 2024».
Tycoon, documentado públicamente por Trustwave el mes pasado, permite a los ciberdelincuentes atacar a los usuarios de Microsoft 365 con páginas de inicio de sesión falsas para capturar sus credenciales, cookies de sesión y códigos de autenticación de dos factores (2FA). Se sabe que está activo desde al menos agosto de 2023, y el servicio se ofrece a través de canales privados de Telegram.
El kit de phishing
Se destaca por incorporar amplios métodos de filtrado de tráfico para frustrar la actividad de los bots y los intentos de análisis, lo que requiere que los visitantes del sitio completen un desafío Cloudflare Turnstile antes de redirigir a los usuarios a una página de recolección de credenciales.
Tycoon también comparte similitudes operativas y a nivel de diseño con el kit de phishing Dadsec OTT, lo que plantea la posibilidad de que los desarrolladores tuvieran acceso y modificaran el código fuente de este último para adaptarlo a sus necesidades. Esto se ve respaldado por el hecho de que Dadsec OTT vio filtrado su código fuente en octubre de 2023.
«El desarrollador mejoró las capacidades de sigilo en la versión más reciente del kit de phishing», dijo Sekoia . «Las actualizaciones recientes podrían reducir la tasa de detección por parte de los productos de seguridad de las páginas de phishing y la infraestructura de Tycoon 2FA. Además, su facilidad de uso y su precio relativamente bajo lo hacen bastante popular entre los actores de amenazas».
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.