Los investigadores advierten que desde octubre, un nuevo actor de amenazas se ha dirigido a más de mil organizaciones para implementar malware de robo de credenciales. La cadena de ataque también incluye componentes de reconocimiento, incluido un troyano que toma capturas de pantalla de los escritorios de las computadoras infectadas.
Rastreadas como TA866 por investigadores de la firma de seguridad Proofpoint, las herramientas del grupo parecen tener similitudes con otras campañas reportadas con diferentes nombres en el pasado, que se remontan a 2019. Si bien esta actividad reciente parece tener una motivación financiera, algunas pueden estar relacionadas con ataques anteriores, lo que sugiere que el espionaje también fue una motivación en ese entonces.
HCómo funciona la campaña de ataque Screentime
Proofpoint denominó a esta última campaña «Screentime» porque al principio de la cadena de ataque, los atacantes usan utilidades de captura de pantalla de perfiles de víctimas escritas en diferentes lenguajes de programación.
«Screenshotter tiene un solo propósito, tomar una captura de pantalla de la pantalla de la víctima y enviarla al servidor de comando y control (C2)», dijeron los investigadores en un nuevo informe. “Es probable que el atacante examine manualmente la captura de pantalla de la víctima durante su horario normal de trabajo y proporcione cargas útiles adicionales para que las descargue el bucle WasabiSeed. Screenshotter toma más capturas de pantalla si el atacante no está satisfecho con las capturas de pantalla anteriores”.
Los ataques comienzan con correos electrónicos de phishing que utilizan técnicas de secuestro de hilos y tienen varios señuelos como «Por favor califique mi presentación comercial». Intentan engañar a los usuarios para que descarguen y abran archivos de Publisher (.pub) que contienen macros maliciosas o archivos JavaScript maliciosos. Los correos electrónicos contienen enlaces que dirigen a los usuarios a los archivos después de que el tráfico se haya filtrado a través de una serie de redireccionamientos, archivos adjuntos en PDF que contienen los enlaces o archivos adjuntos .pub directamente.
«La mayoría de las campañas en octubre y noviembre de 2022 incluyeron una cantidad limitada de correos electrónicos y se centraron en una pequeña cantidad de empresas», dijeron los investigadores. “Las campañas se observaron en promedio una o dos veces por semana y los mensajes contenían archivos adjuntos del editor. En noviembre y diciembre de 2022, cuando el atacante comenzó a usar URL, la escala de operaciones aumentó y el volumen de correo electrónico aumentó drásticamente. Las campañas típicas consistían en miles o incluso decenas de miles de correos electrónicos y se monitoreaban de dos a cuatro veces por semana».
Cuando se ejecutan, los archivos maliciosos implementan un programa de malware llamado WasabiSeed, que viene como un instalador de MSI y establece la persistencia mediante la creación de un acceso directo de ejecución automática en la carpeta de inicio de Windows. WasabiSeed es un script simple escrito en VBS que tiene como objetivo descargar y ejecutar cargas útiles adicionales.
Una de esas primeras cargas útiles es la herramienta Screenshotter. Desde el comienzo de la campaña, los atacantes han utilizado varias variantes de esta herramienta escrita en Python; AutoIT, un lenguaje de secuencias de comandos para la automatización de tareas en Windows; y JavaScript incluido con una copia de IrfanView, una herramienta de manipulación de imágenes para Windows. La variante JavaScript+IrfanView es la última observada.
En los objetivos que se consideran interesantes, WasabiSeed también emplea un bot AHK llamado Post-Exploitation, que está escrito en AutoHotKey, otro lenguaje de secuencias de comandos utilizado para automatizar tareas en Windows. AHK Bot consta de secuencias de comandos AutoHotKey que permiten a los atacantes realizar diversas tareas. Uno se llama Perfilador de Dominio y se usa para extraer el dominio de Active Directory al que está conectada la máquina y enviarlo al servidor de comando y control.
Otro script llamado Stealer Loader descarga un archivo DLL y lo carga en la memoria RAM de la computadora. Este archivo DLL es un malware de robo de información llamado Rhadamanthys Stealer, que ha estado disponible para la venta en foros de ciberdelincuencia desde agosto de 2022), clientes de correo electrónico, configuraciones de VPN, cookies y cualquier otro archivo que deseen los atacantes.
Dado que la entrega de la carga útil requiere la intervención manual de los atacantes, los investigadores sospechan que su zona horaria es UTC+2:00 o +3:00 (Europa del Este y Rusia). Parte del malware también contiene comentarios en ruso. Las campañas estuvieron dirigidas a más de 1.000 organizaciones, principalmente de EE.UU. y Alemania.
Los ataques de tiempo de pantalla se pueden usar para obtener ganancias financieras o espionaje.
“La mayor parte de la actividad reciente observada por Proofpoint sugiere que las campañas recientes tienen una motivación financiera. Sin embargo, la evaluación de las actividades históricas sugiere un posible objetivo de espionaje adicional”, advirtieron los investigadores. “El uso de Screenshotter para recopilar información sobre un host comprometido antes de implementar cargas útiles adicionales indica que el actor de amenazas está revisando manualmente las infecciones para identificar objetivos de alto valor. La creación de perfiles de AD es de particular preocupación ya que la actividad de seguimiento conduce a compromisos en todos los hosts unidos».
Derechos de autor © 2023 IDG Communications, Inc.