Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Implante PowerModul

Implante PowerModul

Por Mezo en Software malicioso, Puertas traseras
Traducir a:
Español

El actor de amenazas conocido como Paper Werewolf, también conocido como GOFFEE, ha estado atacando exclusivamente a organizaciones rusas mediante un nuevo implante llamado PowerModul. Entre julio y diciembre de 2024, sus ataques se centraron en sectores clave, como los medios de comunicación, las telecomunicaciones, la construcción, las entidades gubernamentales y el sector energético.

Un adversario persistente: campañas desde 2022

The Paper Werewolf ha llevado a cabo al menos siete campañas desde 2022. El grupo se ha centrado constantemente en objetivos de alto valor dentro de los sectores gubernamental, energético, financiero y de medios de comunicación.

Más que espionaje: Giros destructivos en las cadenas de ataque

Las operaciones de Paper Werewolf van más allá del ciberespionaje tradicional. Se ha observado que sus cadenas de ataque incorporan componentes disruptivos, como el cambio de contraseñas de cuentas de empleados, lo que indica una intención de paralizar las operaciones y no solo robar datos.

Punto de entrada: Señuelos de phishing y PowerRAT

Los ataques suelen comenzar con correos electrónicos de phishing que contienen documentos con macros. Una vez que la víctima accede al archivo y habilita las macros, se implementa un troyano de acceso remoto basado en PowerShell, conocido como PowerRAT . Este malware sienta las bases para cargas útiles más avanzadas.

Arsenal de malware personalizado: PowerTaskel, QwakMyAgent y Owowa

Las cargas útiles de la siguiente etapa suelen incluir PowerTaskel y QwakMyAgent, versiones personalizadas de agentes basadas en el framework Mythic. Otra herramienta, Owowa, un módulo malicioso de IIS, se utiliza para robar credenciales de Microsoft Outlook introducidas a través de clientes web.

Nueva táctica de infección: ejecutables camuflados en archivos RAR

La última ola de ataques incluye un archivo RAR malicioso que contiene un ejecutable camuflado en un documento PDF o Word con doble extensión (p. ej., *.pdf.exe). Al ejecutarse, se muestra al usuario un documento señuelo mientras el sistema se infecta silenciosamente en segundo plano.

El ejecutable es en realidad un archivo de sistema de Windows parcheado (como explorer.exe), incrustado con código shell malicioso que contiene un agente Mythic ofuscado, que se conecta al servidor C2 para obtener más instrucciones.

Ruta de ataque alternativa: PowerModul toma protagonismo

Como método alternativo, Paper Werewolf utiliza un archivo RAR con un documento de Office con macros que actúa como dropper para PowerModul. Este script de PowerShell puede ejecutar scripts adicionales desde el servidor C2, lo que lo convierte en una puerta trasera versátil.

Payload Parade: Un conjunto de herramientas para el espionaje y la infección

PowerModul se utiliza desde principios de 2024, principalmente para descargar y ejecutar PowerTaskel. Otras cargas útiles destacadas incluyen:

  • FlashFileGrabber : roba archivos de unidades flash y los extrae.
  • FlashFileGrabberOffline : busca archivos con extensiones específicas en medios flash y los almacena localmente para su posterior exfiltración.
  • Gusano USB : infecta unidades flash con una copia de PowerModul para propagar aún más el malware.

Capacidades de PowerTaskel: más que la simple ejecución de scripts

Aunque es similar a PowerModul, PowerTaskel es más potente. Envía un mensaje de registro con información del sistema, ejecuta comandos desde el servidor C2 y puede escalar privilegios mediante PsExec. En un caso, se observó la ejecución de un script FolderFileGrabber que recopila archivos de sistemas remotos mediante rutas de red SMB predefinidas.

Evolución en las tácticas: Alejándose del PowerTaskel

Por primera vez, Paper Werewolf ha utilizado documentos de Word fraudulentos con scripts de VBA para el acceso inicial. Hallazgos recientes también indican un cambio de estrategia: el grupo se está alejando de PowerTaskel y recurriendo cada vez más a agentes binarios de Mythic para su desplazamiento lateral dentro de redes específicas.

Reflexiones finales: Una amenaza creciente con técnicas en evolución

Paper Werewolf continúa perfeccionando sus técnicas y ampliando su arsenal. Su enfoque exclusivo en entidades rusas, sumado a sus capacidades disruptivas y una estrategia de infección en constante evolución, lo convierten en una ciberamenaza grave y persistente en el horizonte.

Tendencias

Estafa por correo electrónico de Airdrop de USDT de...

Suplantación de identidad (phishing), Correo basura
Con el auge de las criptomonedas, los estafadores han desarrollado tácticas cada vez más engañosas para engañar a los usuarios y lograr que regalen sus activos digitales. Una de estas estafas es la estafa por correo electrónico de USDT Airdrop de VoxFlowG, que se aprovecha de personas desprevenidas prometiéndoles Tether (USDT) gratis. Esta táctica está diseñada para recolectar fondos de las...

Chase - La transferencia se está procesando y se...

Suplantación de identidad (phishing), Correo basura
Internet está lleno de oportunidades y comodidades, pero también es un caldo de cultivo para las ciberamenazas. Los estafadores idean constantemente nuevas formas de engañar a los usuarios, robar datos confidenciales y explotar cuentas financieras. Una de estas estrategias es la estafa por correo electrónico "Chase - La transferencia se está procesando y se deducirá", que se aprovecha de...

Mas Visto

Cargando...