Threat Database Malware Software malicioso BoomBox

Software malicioso BoomBox

BoomBox Malware es una amenaza de descarga de etapa intermedia utilizada en un ataque de phishing que se hace pasar por la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). El actor de amenazas logró hacerse cargo de la cuenta de contacto de la agencia y luego la usó para enviar más de 3000 correos electrónicos de phishing a más de 150 objetivos. Las organizaciones seleccionadas incluyeron agencias gubernamentales y entidades involucradas con el trabajo humanitario y de derechos humanos, así como con el desarrollo internacional.

El ataque se atribuye al grupo APT29, los mismos piratas informáticos que llevaron a cabo el ataque a la cadena de suministro contra SolarWinds. APT29 también se conoce con los nombres de Nobelium, SolarStorm, DarkHalo, NC2452 y más. Se cree que los piratas informáticos tienen conexiones con Rusia.

BoomBox es una de las cuatro herramientas de malware nunca antes vistas que ATP29 utilizó en la operación de USAID. Sus otras herramientas amenazantes son el adjunto HTML EnvyScout, el cargador NativeZone y el código de shell VaporRage.

Detalles de BoomBox

BoomBox es una de las cargas útiles de la etapa intermedia de la operación. Se envía al sistema infectado como un archivo BOOM.exe oculto dentro de una imagen ISO lanzada por el malware EnvyScout. La funcionalidad principal de BoomBox es buscar dos archivos de malware cifrados en la máquina comprometida desde DropBox. Luego, la amenaza descifrará y guardará los dos archivos en el sistema local como '% AppData% MicrosoftNativeCacheNativeCacheSvc.dll' y '% AppData% SystemCertificatesCertPKIProvider.dll'. El siguiente paso para BoomBox es ejecutar los archivos a través de rundll32.exe. Los archivos entregados contienen las cargas útiles de las amenazas NativeZone y VaporRage.

Como actividad final, BoomBox ejecutará una consulta LDAP en un intento de recopilar detalles como el nombre de la cuenta SAM, el correo electrónico, el nombre distinguido y el nombre para mostrar de todos los usuarios del dominio. Los datos recopilados se cifrarán y cargarán en un servidor remoto.

Tendencias

Mas Visto

Cargando...