Los investigadores de seguridad cibernética advierten sobre una nueva campaña de phishing que está dirigida a usuarios en Taiwán con familias de malware como Holdinghands Rat y GH0stCringe.
La actividad es parte de una campaña más amplia que entregó el marco de malware de Winos 4.0 a principios de enero al enviar mensajes de phishing que se hace pasar por la Oficina Nacional de Impuestos de Taiwán, dijo Fortinet Fortiguard Labs en un informe compartido con The Hacker News.
La compañía de seguridad cibernética dijo que identificaba muestras de malware adicionales a través del monitoreo continuo y que observaba el mismo actor de amenaza, denominado Silver Fox APT, utilizando documentos PDF con malware o archivos zip distribuidos a través de correos electrónicos de phishing para entregar GH0STCRINE y una cepa de malware basada en ratas HoldingHands.
Vale la pena señalar que tanto Holdhands Rat (también conocido como GH0STBINS) como GH0stCringe son variantes de un troyano de acceso remoto conocido llamado GH0ST RAT, que los grupos de piratería chinos utilizan ampliamente.
El punto de partida del ataque es un correo electrónico de phishing que se disfraza de mensajes del gobierno o socios comerciales, empleando señuelos relacionados con impuestos, facturas y pensiones para persuadir a los destinatarios para que abran el archivo adjunto. Se ha encontrado que las cadenas de ataque alternativas aprovechan una imagen incrustada que, cuando se hace clic, descarga el malware.
Los archivos PDF, a su vez, contienen un enlace que redirige los objetivos prospectivos a una página de descarga que aloja un archivo zip. Presentes dentro del archivo hay varios ejecutables legítimos, cargadores de shellcode y shellcode cifrado.
La secuencia de infección de múltiples etapas implica el uso del cargador de shellcode para descifrar y ejecutar el shellcode, que no es más que archivos DLL latidos por los binarios legítimos utilizando técnicas de carga lateral de DLL. Las cargas útiles intermedias desplegadas como parte del ataque incorporan una escalada anti-VM y privilegios para garantizar que el malware se ejecute sin obstáculos en el host comprometido.
El ataque culmina con la ejecución de «msgdb.dat», que implementa funciones de comando y control (C2) para recopilar información del usuario y descargar módulos adicionales para facilitar la administración de archivos y las capacidades de escritorio remotos.
Fortinet dijo que también descubrió que el actor de amenazas que propagó GH0STCRINE a través de los archivos adjuntos PDF en correos electrónicos de phishing que llevan a los usuarios a documentar las páginas HTM.
«La cadena de ataque comprende numerosos fragmentos de shellcode y cargadores, haciendo que el flujo de ataque sea complejo», dijo la compañía. «A través de Winos, Holdhands y GH0stCringe, este grupo de amenazas evoluciona continuamente sus estrategias de malware y distribución».