Software malicioso IMAPLoader

El grupo de ciberamenazas Tortoiseshell, vinculado a Irán, ha sido vinculado a un reciente aumento de ataques a abrevaderos. Estos ataques tienen como objetivo desatar una cepa de malware conocida como IMAPLoader.

IMAPLoader, clasificado como malware .NET, posee la capacidad de perfilar los sistemas de destino a través de herramientas nativas de Windows. Su función principal es servir como descargador de cargas útiles maliciosas adicionales. El malware emplea el correo electrónico como canal de comando y control (C2, C&C), lo que le permite ejecutar cargas útiles recuperadas de los archivos adjuntos del correo electrónico. Además, inicia la ejecución mediante el despliegue de nuevos servicios.

Carey es un actor de amenazas asociado con numerosas campañas de ataque

En funcionamiento desde al menos 2018, Tortoiseshell tiene un historial de emplear compromisos estratégicos de sitios web para facilitar la distribución de malware. A principios de 2023, los investigadores identificaron al grupo como responsable de violar ocho sitios web vinculados a empresas de transporte, logística y servicios financieros en Israel.

Este actor de amenazas está asociado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC). La comunidad de ciberseguridad en general lo reconoce con varios nombres, incluidos Crimson Sandstorm (anteriormente Curium), Imperial Kitten, TA456 y Yellow Liderc.

En la reciente ola de ataques que se extendió de 2022 a 2023, el grupo utilizó la táctica de incrustar JavaScript amenazante en sitios web legítimos comprometidos. Este enfoque tenía como objetivo recopilar información detallada sobre los visitantes, que abarca su ubicación, detalles del dispositivo y el momento de sus visitas.

Los objetivos específicos de estas intrusiones fueron los sectores marítimo, marítimo y logístico de la región mediterránea. En ciertos casos, estos ataques llevaron al despliegue de IMAPLoader como carga útil posterior, especialmente cuando se consideraba que la víctima era un objetivo de alto valor.

El malware IMAPLoader es un componente esencial en una cadena de ataque de varias etapas

Se dice que IMAPLoader es un reemplazo de un implante IMAP Tortoiseshell basado en Python utilizado anteriormente a finales de 2021 y principios de 2022, debido a las similitudes en la funcionalidad. El malware actúa como un descargador de cargas útiles de la siguiente etapa al consultar cuentas de correo electrónico IMAP codificadas, específicamente verificando una carpeta de buzón mal escrita como "Recibir" para recuperar los archivos ejecutables de los archivos adjuntos del mensaje.

En una cadena de ataque alternativa, se utiliza un documento señuelo de Microsoft Excel como vector inicial para iniciar un proceso de varias etapas para entregar y ejecutar IMAPLoader, lo que indica que el actor de la amenaza está utilizando numerosas tácticas y técnicas para lograr sus objetivos estratégicos.

Los investigadores también han descubierto sitios de phishing creados por Tortoiseshell, algunos de los cuales están dirigidos a los sectores de viajes y hotelería en Europa, para realizar la recolección de credenciales utilizando páginas de inicio de sesión falsas de Microsoft.

Este actor amenazante sigue siendo una amenaza activa y persistente para muchas industrias y países, incluidos los sectores marítimo, marítimo y logístico dentro del Mediterráneo; industrias nuclear, aeroespacial y de defensa en EE. UU. y Europa y proveedores de servicios administrados de TI en Medio Oriente. Estas actualizaciones a menudo incluyen correcciones cruciales para vulnerabilidades que podrían ser explotadas por ciberdelincuentes. Validar las actualizaciones automáticas es una forma conveniente de garantizar que su dispositivo esté protegido contra amenazas emergentes.