Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Suplantación de identidad (phishing) RATA DE PULSO FANTASMA

RATA DE PULSO FANTASMA

Por Mezo en Suplantación de identidad (phishing), Herramientas de administración remota
Traducir a:

Ha surgido una sofisticada campaña de ingeniería social que utiliza Obsidian como vector de acceso inicial para desplegar un troyano de acceso remoto a Windows, hasta ahora desconocido, llamado PHANTOMPULSE. La campaña se dirige específicamente a personas que trabajan en los sectores financiero y de criptomonedas, aprovechando la confianza en herramientas legítimas para eludir las medidas de seguridad tradicionales.

Operación REF6598: Engaño a través de redes profesionales

Esta campaña, identificada como REF6598 por investigadores de ciberseguridad, emplea técnicas avanzadas de ingeniería social a través de LinkedIn y Telegram. Inicialmente, se contacta a las víctimas con el pretexto de una colaboración con una empresa de capital riesgo. Posteriormente, las conversaciones se trasladan a chats grupales de Telegram con personas que se hacen pasar por "socios", creando una convincente apariencia de legitimidad.

Dentro de estos grupos, las discusiones giran en torno a los servicios financieros y las estrategias de liquidez de las criptomonedas, lo que refuerza la credibilidad. Finalmente, se instruye a las víctimas para que accedan a un panel de control compartido a través de una bóveda de Obsidian alojada en la nube, utilizando las credenciales proporcionadas.

El detonante oculto: Activación maliciosa de la bóveda

La cadena de infección se activa cuando la víctima abre la bóveda compartida en Obsidian. En esta etapa, se le solicita al usuario que habilite la sincronización de los "complementos de la comunidad instalados", una función que está desactivada por defecto. Esta acción manual es fundamental, ya que permite la ejecución de configuraciones maliciosas integradas.

Los atacantes explotan complementos legítimos, específicamente Shell Commands y Hider, para ejecutar código no autorizado. Mientras que Shell Commands facilita la ejecución, Hider oculta elementos de la interfaz, como la barra de estado y las sugerencias emergentes, lo que reduce la probabilidad de detección. El ataque se basa completamente en convencer al usuario de que habilite la sincronización de complementos, eludiendo así las medidas de seguridad integradas.

Evasión por diseño: vivir de características legítimas

Esta campaña se distingue por el abuso estratégico de la funcionalidad de confianza de la aplicación, en lugar de explotar vulnerabilidades del software. Las características clave incluyen:

  • Las cargas maliciosas están incrustadas en archivos de configuración JSON, lo que reduce la probabilidad de que activen la detección de antivirus tradicionales.
  • La ejecución se realiza a través de una aplicación basada en Electron firmada, lo que complica la detección basada en el proceso padre.
  • La persistencia y la ejecución de comandos dependen completamente de mecanismos de complementos legítimos dentro de la aplicación.

Cadena de infección de Windows: del cargador a la puerta trasera residente en memoria

En los sistemas Windows, el ataque inicia una cadena de ejecución basada en PowerShell que despliega un cargador intermedio llamado PHANTOMPULL. Este cargador descifra y ejecuta PHANTOMPULSE directamente en la memoria, evitando la detección en disco.

PHANTOMPULSE incorpora la resolución de comando y control (C2) basada en blockchain mediante consultas a la red Ethereum. Recupera la última transacción vinculada a una dirección de monedero predefinida para determinar dinámicamente su servidor C2. La comunicación se realiza a través de WinHTTP, lo que permite la extracción de datos, la recuperación de comandos y la generación de informes de ejecución.

El malware admite un amplio conjunto de capacidades de control remoto:

  • inject: inyecta shellcode, DLL o ejecutables en procesos
  • drop: escribe y ejecuta archivos en el disco.
  • captura de pantalla: captura y carga datos de la pantalla
  • keylog: habilita o deshabilita el registro de pulsaciones de teclas
  • desinstalar: elimina los mecanismos de persistencia y limpia los artefactos.
  • elevar: eleva privilegios a SYSTEM mediante elevación COM
  • degradación: reduce los privilegios de SYSTEM a nivel de administrador.

Variante de macOS: Ofuscación e infraestructura C2 flexible

En macOS, el ataque aprovecha un script de AppleScript ofuscado que se distribuye mediante el mismo mecanismo de complemento. El script recorre una lista predefinida de dominios y utiliza Telegram como servidor de reserva para la detección de servidores C2. Este diseño permite una rápida rotación de la infraestructura, lo que inutiliza las estrategias tradicionales de bloqueo de dominios.

La etapa final consiste en recuperar y ejecutar una carga útil secundaria mediante osascript. Sin embargo, debido a que los servidores C2 estaban inactivos en el momento del análisis, las capacidades completas de esta carga útil aún no se han determinado.

Resultado del ataque e implicaciones estratégicas

La intrusión observada finalmente fracasó, ya que las medidas defensivas detectaron y bloquearon el ataque antes de que se lograran los objetivos. No obstante, REF6598 pone de manifiesto una evolución significativa en la metodología de los ciberdelincuentes.

Al explotar aplicaciones de confianza y aprovecharse de los cambios de configuración realizados por el usuario, los atacantes eluden eficazmente los controles de seguridad convencionales. Este enfoque pone de manifiesto una tendencia creciente: la utilización de funciones legítimas de software como canales de ejecución encubiertos, lo que subraya la necesidad de una mayor concienciación del usuario y una monitorización de su comportamiento en las defensas de ciberseguridad.

Tendencias

Mas Visto

Cargando...