Spyware "anómalo" que roba credenciales de empresas industriales

Los investigadores han descubierto varias campañas de spyware dirigidas a empresas industriales, con el objetivo de robar credenciales de cuentas de correo electrónico y realizar fraudes financieros o revenderlas a otros actores.

Los actores usan herramientas de spyware disponibles en el mercado, pero implementan cada variante solo por un tiempo muy limitado para evadir la detección.

Los ejemplos de malware utilizados en los ataques incluyen AgentTesla / Origin Logger, HawkEye, Noon / Formbook, Masslogger, Snake Keylogger, Azorult y Lokibot.

Un ataque atípico

Kaspersky se refiere a estos ataques de software espía como "anómalos" debido a su naturaleza de duración muy corta en comparación con lo que se considera típico en el campo.

Más concretamente, la duración de los ataques se limita a unos 25 días, mientras que la mayoría de las campañas de software espía duran varios meses o incluso años.

El número de sistemas atacados en estas campañas es siempre inferior a cien, la mitad de los cuales son máquinas ICS (sistemas informáticos integrados) distribuidas en entornos industriales.

Otro elemento inusual es el uso del protocolo de comunicación basado en SMTP para la exfiltración de datos al servidor C2 controlado por el actor.

A diferencia de HTTPS, que se utiliza en la mayoría de las campañas estándar de software espía para la comunicación C2, SMTP es un canal unidireccional que se ocupa únicamente del robo de datos.

SMTP no es una opción común para los actores de amenazas porque no puede recuperar archivos binarios u otros archivos que no sean de texto, pero prospera gracias a su simplicidad y capacidad para mezclarse con el tráfico normal de la red.

Robar credenciales para fomentar la infiltración

Los actores usan credenciales de empleados robadas que adquieren a través de phishing para infiltrarse más profundamente y moverse de lado a lado en la red de la empresa.

También utilizan los buzones de correo corporativos comprometidos en ataques anteriores como servidores C2 para nuevos ataques, lo que dificulta mucho la detección y el informe de correspondencia interna maliciosa.

"Curiosamente, las tecnologías antispam corporativas ayudan a los atacantes a pasar desapercibidos mientras filtran las credenciales robadas de las máquinas infectadas, haciéndolas 'invisibles' entre todos los correos electrónicos no deseados en las carpetas de spam". - explica el informe de Kaspersky

En términos numéricos, los analistas identificaron al menos 2000 cuentas de correo electrónico corporativas abusadas como servidores C2 temporales y otras 7000 cuentas de correo electrónico abusadas de otras formas.

Vender en mercados web oscuros

Muchas de las credenciales de cuentas de correo electrónico RDP, SMTP, SSH, cPanel y VPN robadas en estas campañas se publican en los mercados de la dark web y finalmente se venden a otros actores de amenazas.

Según el análisis estadístico de Kaspersky, aproximadamente el 3,9% de todas las cuentas RDP vendidas en estos mercados ilegales pertenecen a empresas industriales.

Las cuentas RDP (Protocolo de escritorio remoto) son invaluables para los ciberdelincuentes porque les permiten acceder de forma remota a las máquinas comprometidas e interactuar directamente con un dispositivo sin generar ninguna alarma.

Por lo general, estas listas despiertan el interés de los actores de ransomware que utilizan el acceso RDP para distribuir su malware devastador.