EnvyScout Malware

EnvyScout es una nueva cepa de malware que se utilizó en un ataque de phishing que se hizo pasar por la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). Los actores de amenazas responsables de la operación son de APT29, el mismo colectivo de hackers que llevó a cabo el ataque a la cadena de suministro contra SolarWinds. Se cree que APT29 tiene vínculos con Rusia. Otros nombres utilizados para designar al mismo actor de amenazas son Nobelium, SolarStorm, DarkHalo, NC2452 y StellarPartile.

Los piratas informáticos lograron comprometer una cuenta de contacto perteneciente a USAID y luego procedieron a enviar más de 3000 correos electrónicos de phishing a más de 150 entidades diferentes. Los objetivos incluían organizaciones y agencias gubernamentales involucradas con el trabajo humanitario y de derechos humanos, así como con el desarrollo internacional. Los investigadores de Infosec descubrieron cuatro cepas de malware nunca antes vistas como parte del ataque de USAID: un archivo adjunto HTML llamado 'EnvyScout', un descargador llamado ' BoomBox ', un cargador llamado ' NativeZone ' y un código de shell llamado 'VaporRage'. La primera amenaza que se lanza sobre las máquinas comprometidas es EnvyScout.

Detalles de EnvyScout

Microsoft analizó el malware utilizado en el ataque de USAID y publicó un informe con sus hallazgos. EnvyScout está diseñado para colocar la carga útil de la siguiente etapa en el sistema infectado, al mismo tiempo que captura y extrae ciertos datos, principalmente credenciales NTLM de cuentas de Windows. La amenaza es un archivo adjunto HTML / JS distribuido con el nombre 'NV.html'. Cuando se ejecuta, el archivo NV intentará cargar una imagen desde un archivo: // URL. Al mismo tiempo, las credenciales de Windows NTLM del usuario registrado pueden enviarse a un servidor remoto bajo el control de los piratas informáticos. Los ciberdelincuentes pueden intentar acceder a la contraseña de texto sin formato contenida en los datos a través de métodos de fuerza bruta.

EnvyScout intensificará el ataque convirtiendo un blob de texto incrustado en un archivo de imagen dañado llamado 'NV.img' que se guardará en el sistema local. Si el archivo de imagen lo inicia el usuario, mostrará un acceso directo llamado NV que ejecutará un archivo oculto llamado "BOOM.exe". El archivo oculto es parte de la carga útil de la siguiente etapa del malware BoomBox.

Cabe señalar que se observó que EnvyScout se implementó en una campaña de phishing diferente. Según el investigador de seguridad de información Florian Roth, la amenaza se adjuntó a correos electrónicos de phishing que se hacen pasar por correspondencia oficial procedente de la Embajada de Bélgica.