Stealthy Phishing:

Stealthy Phishing:

Ataque sigiloso utilizado para la exfiltración de datos.

Los analistas especializados en ciberseguridad han observado ataques de Phishing que utilizan una técnica avanzada y sigilosa diseñada para exfiltrar una amplia gama de información confidencial.

La técnica implica un Malware sofisticado capaz de recolectar archivos PDF y directorios de la mayoría de las carpetas, así como información del navegador, como cookies de sesión, detalles de tarjetas de crédito guardados, extensión relacionados con bitcoin, historial web y más, que ellos atacantes luego transmiten a una cuenta de correo electrónico remota como un archivo adjunto comprimido.

Es inusual ver extractores de información diseñados para recolectar y exfiltrar una fama tan amplia de información.  La información que generalmente buscan son contraseñas guardadas del navegador y, a veces, billeteras de criptomonedas, pero poco más.

A continuación, se describe como se desarrolla el ataque:

Paso 1: Phishing Email

En los incidentes observados, el ataque comienza con un correo electrónico de phishing que anima al destinatario a abrir un pedido de compra adjunto. El correo electrónico incluye varios errores gramaticales básicos.

Todos los correos electrónicos parecen ser enviados desde la misma dirección “yukun-0-saadelbin.com”. El nombre de la empresa y los datos de contacto parecen ser ficticios.

El archivo adjunto, que se llama “P.P.7z” en las imágenes anteriores se observa que contienen un archivo de imagen de disco ISO. Un archivo ISO es un archivo de almacenamiento que contiene una imagen idéntica a los datos que se encuentran en un disco óptico, como un CD o un DVD.

Dentro del archivo de imagen de disco ISO hay un archivo HTA (aplicación HTML). Un HTA es un tipo de archivo utilizado por Microsoft Windows para crear aplicaciones que utilizan tecnologías web, lo que puede convertirlas en un riesgo de seguridad.

Al ejecutar el archivo HTA, se descargan y ejecutan una serie de cargas útiles maliciosas.

Paso 2: The malicious payloads

Cuando se ejecuta el archivo HTA, se descarga en la cuenta comprometida un archivo JavaScript ofuscado desde un servidor remoto y se ejecuta el archivo.

Este archivo JavaScript, a su vez, descarga un archivo PowerShell, lo coloca en la carpeta “Temp” de la cuenta y lo ejecuta.

El script de PowerShell descarga un archivo ZIP desde un servidor remoto y también lo coloca en la carpeta Temp.

Este archivo ZIP se descromprime en una carpeta llamada “PythonTemp”

Desde esta carpeta, se ejecuta el Malware que roba información (Script de Python). Luego, el archivo Python permanece en reposo durante tres segundos, después de lo cual mata el proceso. Sin embargo, Python sigue en ejecución y elimina todos los archivos en la carpeta PythonTemp antes de eliminarse a sí mismo.

El Script de Python esta modificado y cifrado, lo que dificulta que los analistas de seguridad realicen ingeniería inversa de la amenaza.

First Level decoding

El script pasa por varios niveles de decodificación y descifrado para llegar al código final.

The scripts descifra la carga final 

 

Paso 3: The data exfiltration

La mayoría de los ataques de Phishing están asociados con el robo de datos, donde los atacantes buscar robar credenciales, destalles de cuentas financieras y más. La exfiltración de datos también es un tipo de robo, pero se asocia mas a menudo con Ransomware y la eliminación activa de información de la red, a menudo en volúmenes significativos mediante herramientas y xploits.

En estos ataques, estamos viendo la exfiltración de datos, ejecutada por un Malware sofisticado de robo de información que esta diseñado para recopilar y exfiltrar una gama mas amplia de información que los robos de información típicos.

The Python Infostealer Malware

Las capacidades de infostealer utilizado en este ataque incluyen:

Recopilación de información del navegador

El Malware esta diseñado para matar los procesos del navegador y recopilar sus MasterKeys. Puede recopilar MasterKeys para Chrome, Edge, Yandex y Brave.

Puede recopilar cookies de sesión de los directorios del navegador, contraseñas guardadas de los navegadores web, información guardada de tarjetas de crédito, historial web y de descargas e informacion de autocompletado. También puede copiar cualquier carpeta de extensión del navegador relacionada con bitcoin, incluidas MetaMask, BMB Chain Wallet, Coinbase Wallet, y Ronin Wallet.

Recopilación de archivos.

Infostealer intenta recopilar archivos PDF ubicados en las siguientes carpetas

“Escritorio, Descargas, Documentos, la carpeta “Reciente” en %AppData% y %Temp%,Browser.

Pueden copiar y comprimir directorios enteros, incluidos:

%AppData%,Zcash, %AppData%,Armory y cuaqluier carpeta de juegos.

Exfiltración

El ladrón de información comprime la información recopilada y envía este archivo ZIP como un archivo adjunto de correo electrónico a “maternamedical(.)top”

Las cookies recopiladas se envían a:

“cooklielogs(@)maternamedical(.)top”

Los archivos PDF recopilados se envían a:

“filelogs(@)maternamedical(.)top

Los archivos de texto recopilados se envían a:

“minestealer8412(@)maternamedical(.)top”

Las extensiones del navegador se envían a:

“extensionsmtp(@)maternamedical(.)top”

La cantidad de información recopilada es extensa y confidencial. Las contraseñas guardadas y las cookies robadas podrían ayudar a un atacante a moverse lateralmente en la organización, mientras que la información de la tarjeta de crédito y la información de la billetera de bitcoins podrían usarse para robar dinero.

Recomendaciones:

La exfiltración de datos representa una amenaza importante y en constante evolución para las organizaciones de todos los tamaños. A medida que los cibercriminales continúan desarrollando métodos sofisticados para robar información confidencial, es importante que las empresas se mantengan alertas y proactivas en sus esfuerzos de ciberseguridad, es de suma importancia que las empresas mantengan alertas y proactivas en sus esfuerzos de ciberseguridad.

La implementación de protocolos de seguridad sólidos, monitoreo continuo de la actividad sospechosa y la capacitación constante de los empleados sobre riesgos potenciales son estrategias clave para mitigar el riesgo de exfiltración de datos.

Las soluciones de protección de correo electrónico que cuentan con una detección multicapa impulsada por inteligencia artificial y aprendizaje automático evitan que este tipo de ataques lleguen a las bandejas de entrada de los usuarios.

Acércate a nosotros para brindarte más información de nuestro programa de canales:

JR

Regresar al blog