Operación de ataque SteganoAmor
El grupo de piratería TA558 ha iniciado una nueva campaña, empleando esteganografía para incrustar código dañino en imágenes. Esta técnica les permite distribuir clandestinamente una variedad de herramientas de malware en sistemas específicos, evadiendo la detección tanto de los usuarios como del software de seguridad.
Desde 2018, TA558 ha representado una amenaza importante, dirigida principalmente a entidades hoteleras y turísticas de todo el mundo, con un enfoque notable en América Latina. Recientemente, los expertos en ciberseguridad dieron a conocer su último esfuerzo, denominado 'SteganoAmor', destacando su gran dependencia de la esteganografía. El análisis reveló más de 320 ataques asociados a esta campaña, impactando a diversos sectores y países.
Tabla de contenido
SteganoAmor comienza con la difusión de correos electrónicos fraudulentos
El ataque comienza con correos electrónicos engañosos que contienen documentos adjuntos aparentemente inofensivos, generalmente en formato Excel o Word, aprovechando la vulnerabilidad CVE-2017-11882. Esta falla, que afectó al editor de ecuaciones de Microsoft Office y fue reparada en 2017, sirve como un objetivo común. Estos correos electrónicos se envían desde servidores SMTP comprometidos para mejorar su legitimidad y reducir la probabilidad de ser bloqueados.
En los casos en los que se utiliza una versión obsoleta de Microsoft Office, el exploit activa la descarga de un Visual Basic Script (VBS) desde el servicio legítimo "pegar al abrir el archivo.ee". Posteriormente, este script se ejecuta para recuperar un archivo de imagen (JPG) que contiene una carga útil codificada en base 64. Dentro del script incrustado en la imagen, el código PowerShell facilita la recuperación de la carga útil final, oculta dentro de un archivo de texto y codificada en formato base64 invertido.
Numerosas amenazas dañinas implementadas como cargas útiles finales
Los investigadores han observado numerosas iteraciones de la cadena de ataque, cada una de las cuales introduce una amplia gama de familias de malware. Entre ellos se encuentran AgentTesla , que funciona como software espía capaz de registrar teclas y robar credenciales; FormBook, especializada en recolectar credenciales y ejecutar comandos remotos; Remcos , que permite la gestión y vigilancia remota de las máquinas; LokiBot , dirigido a datos confidenciales de diversas aplicaciones; Gulo a der, que sirve como descargador de cargas útiles secundarias, Snake Keylogger , que captura pulsaciones de teclas y credenciales, y XWorm , que otorga acceso remoto a computadoras comprometidas.
Las cargas útiles finales y los scripts fraudulentos a menudo encuentran refugio en servicios en la nube de buena reputación como Google Drive para explotar su reputación favorable y evadir la detección antimalware. La información recopilada se transmite a servidores FTP legítimos comprometidos, enmascarando el tráfico para que parezca normal. Se han identificado más de 320 ataques, con un enfoque principal en países latinoamericanos, aunque el alcance de los ataques se extiende a nivel mundial.
El phishing sigue siendo una herramienta extremadamente potente en el arsenal de los ciberdelincuentes
Expertos en seguridad de la información han sacado a la luz una serie de ataques de phishing lanzados por ciberdelincuentes contra organizaciones gubernamentales en Rusia, Bielorrusia, Kazajstán, Uzbekistán, Kirguistán, Tayikistán y Armenia. Estos ataques implementan un malware llamado LazyStealer, diseñado específicamente para extraer credenciales de Google Chrome. Los investigadores están monitoreando esta serie de ataques, denominados colectivamente Lazy Koala, que llevan el nombre del supuesto controlador de los bots de Telegram que reciben los datos robados.
Además, el análisis de la demografía de las víctimas y las características del malware sugiere posibles conexiones con otro grupo de hackers conocido como YoroTrooper (también conocido como SturgeonPhisher). La principal herramienta utilizada por este grupo es un ladrón rudimentario, que emplea medidas de protección para evadir la detección, dificultar el análisis, recopilar todos los datos robados y transmitirlos a través de Telegram. Telegram ha sido cada vez más favorecido por actores maliciosos como medio de comunicación seguro.
