Los ataques de phishing en todo el mundo generan tres nuevas variedades de malware

Una campaña de phishing a escala global se ha dirigido a organizaciones de todo el mundo en una amplia gama de industrias con cepas de malware nunca antes vistas distribuidas a través de cebos a medida.

Los ataques afectaron al menos a 50 organizaciones de una amplia variedad de industrias en dos oleadas, el 2 de diciembre y entre el 11 y el 18 de diciembre, según un Informe de Mandiant publicado hoy.

UNC2529, mientras que los investigadores de amenazas de Mandiant rastrean el "Sin categorizar"El grupo de amenazas detrás de esta campaña implementó tres nuevas cepas de malware en las computadoras de destino utilizando cebos de phishing personalizados.

Desde el descargador hasta la puerta trasera

El malware utilizado por UNC2529 en estos ataques está muy ofuscado para dificultar el análisis y los intentos de evadir la detección distribuyendo la carga útil en la memoria siempre que sea posible.

"El actor de amenazas hizo un uso extensivo de la ofuscación y el malware sin archivos para complicar la detección y proporcionar una puerta trasera extensible y bien codificada", dijo Mandiant.

Durante las dos oleadas de ataques, el grupo de amenazas utilizó correos electrónicos de phishing con enlaces a un descargador basado en JavaScript (apodado DOBLEDRAG) o un documento de Excel con una macro incorporada que volcó un cuentagotas basado en PowerShell en la memoria (conocido como GOTA DOBLE) desde los servidores de comando y control (C2) de los atacantes.

El cuentagotas DOUBLEDROP agrupa instancias de 32 y 64 bits de una puerta trasera (denominada DOBLE ESPALDA) implementado como una biblioteca dinámica de PE.

La puerta trasera se inserta en el proceso de PowerShell generado por el cuentagotas. Sin embargo, está diseñado para intentar posteriormente inyectarse en un proceso de Windows Installer recién generado (msiexec.exe) si el motor antivirus de Bitdefender no se está ejecutando en la computadora infectada.

En el siguiente paso, la puerta trasera DOUBLEBACK carga su complemento y llega al servidor C2 en un bucle para recuperar los comandos que se ejecutarán en el dispositivo infectado.

"Un hecho interesante sobre todo el ecosistema es que solo existe el descargador en el sistema de archivos", agregó Mandiant.

"Los otros componentes se serializan en la base de datos del registro, lo que dificulta un poco su detección, especialmente por los motores antivirus basados ​​en archivos".

Señales de spear phishing

UNC2529 utilizó una infraestructura sustancial para lanzar sus ataques, con alrededor de 50 dominios utilizados para enviar correos electrónicos de phishing.

El grupo también invirtió tiempo en adaptar sus ataques a las víctimas objetivo, en intentos flagrantes de asegurarse de que sus socios comerciales o clientes vean sus correos electrónicos como mensajes legítimos.

Usaron esta táctica para aumentar la probabilidad de que sus mensajes con trampas explosivas se abran y los objetivos se infecten.

"Disfrazados como ejecutivos de cuentas, se observaron siete correos electrónicos de phishing dirigidos a la industria médica, electrónica de alta tecnología, fabricantes de automóviles y militares y un contratista de defensa con licencia con temas muy específicos para los productos de la compañía, fabricación de electrónicos con sede en California", según Mandiant.

La campaña de phishing de UNC2529 no se centró en un solo sector vertical o una sola región durante las dos oleadas de ataques.

Aunque el principal objetivo del grupo de amenazas era Estados Unidos, los ataques también tenían como objetivo organizaciones de EMEA (Europa, Oriente Medio y África), Asia y Australia.

"Si bien Mandiant no tiene evidencia sobre los objetivos de este actor de amenazas, su amplia focalización en sectores y geografías es consistente con un cálculo de focalización más comúnmente visto entre grupos motivados financieramente", concluyó Mandiant.

"DOUBLEBACK parece ser un trabajo en progreso y Mandiant prevé nuevas acciones por parte de la UNC2529 para comprometer a las víctimas en todos los sectores del mundo".

Los indicadores de compromiso, incluidos los hash de malware y los dominios utilizados para enviar correos electrónicos de phishing, están disponibles al final de Informe de Mandiant.