Los investigadores de ciberseguridad han revelado una nueva campaña maliciosa que utiliza un sitio web falso de software antivirus de publicidad de Bitdefender para engañar a las víctimas para descargar un troyano de acceso remoto llamado Venom Rat.
La campaña indica una «intención clara de atacar a las personas para obtener ganancias financieras al comprometer sus credenciales, las billeteras criptográficas y la venta potencial de acceso a sus sistemas», dijo el equipo de inteligencia de Doma -DomaTools (DTI) en un nuevo informe compartido con Hacker News.
El sitio web en cuestión, «BitDefender-Download (.) Com», anuncia a los visitantes del sitio para descargar una versión de Windows del software antivirus. Al hacer clic en el botón destacado «Descargar para Windows», inicia una descarga de archivo desde un repositorio de Bitbucket que redirige a un cubo de Amazon S3. La cuenta BitBucket ya no está activa.
El archivo ZIP («bitdefender.zip») contiene un ejecutable llamado «storeInstaller.exe», que incluye configuraciones de malware asociadas con Venom Rat, así como un código relacionado con el marco posterior a la explotación de código abierto SilentTrinity y Stormkitty Staaler.
Venom Rat es una rama de cuásar rata que viene con capacidades para cosechar datos y proporcionar acceso remoto persistente a los atacantes.
DomaTools dijo que el sitio web de señuelo disfrazado de bitdefender comparte una superposición de infraestructura temporal e infraestructura con otros dominios maliciosos que falsifican bancos y servicios de TI genéricos que se han utilizado como parte de la actividad de phishing para cosechar credenciales de inicio de sesión asociadas con Royal Bank of Canada y Microsoft.
«Estas herramientas funcionan en concierto: Venom Rat se cuela, Stormkitty toma sus contraseñas e información de billetera digital, y SilentTrinity asegura que el atacante pueda permanecer oculto y mantener el control», dijo la compañía.
«Esta campaña subraya una tendencia constante: los atacantes están utilizando malware sofisticado y modular construido a partir de componentes de código abierto. Este enfoque de» construir malware «hace que estos ataques sean más eficientes, sigilosos y adaptables».
La divulgación se produce cuando Sucuri advirtió sobre una campaña de estilo ClickFix que emplea a las páginas de Google Meet de Google para engañar a los usuarios para que instalaran noanti-vm.bat rat, un script de lotes de Windows fuertemente ofuscado que otorga control remoto sobre la computadora de la víctima.
«Esta página falsa de Google Meet no presenta un formulario de inicio de sesión para robar las credenciales directamente», dijo la investigadora de seguridad Puja Srivastava. «En cambio, emplea una táctica de ingeniería social, presentando un error falso de ‘Micrófono Denegió’ Error e insta al usuario a copiar y pegar un comando específico de PowerShell como una ‘solución'».
También sigue un aumento en los ataques de phishing que explotan la plataforma de desarrollo sin código de la hoja de aplicaciones de Google para montar una campaña altamente específica y sofisticada que se hace pasar por Meta.
«Utilizando tácticas de última generación, como identificadores polimórficos, mecanismos avanzados de proxy de man-in-the-Middle y técnicas de omisión de autenticación multifactor, los atacantes apuntan a cosechar credenciales y códigos de autenticación de dos factores (2FA), lo que permite el acceso a tiempo real a las cuentas de redes sociales», el laboratorio de amenazas de WABBE4 en un informe.
La campaña implica el uso de la hoja de aplicación para entregar correos electrónicos de phishing a escala, lo que permite a los actores de amenaza evitar defensas de seguridad de correo electrónico como SPF, DKIM y DMARC debido al hecho de que los mensajes se originan en un dominio válido («noreply@appsheet (.) Com»).
Además, los correos electrónicos afirman ser del soporte de Facebook y emplean advertencias de eliminación de cuentas para engañar a los usuarios para que haga clic en enlaces falsos con el pretexto de enviar una apelación dentro de un período de tiempo de 24 horas. Los enlaces atrapados en bobado llevan a las víctimas a una página de phishing adversario en el medio (AITM) diseñada para cosechar sus credenciales y códigos de autenticación de dos factores (2FA).
«Para evadir aún más la detección y complicar la remediación, los atacantes aprovechan la funcionalidad de las hojas de aplicación para generar identificaciones únicas, mostradas como ID de caso en el cuerpo del correo electrónico», dijo la compañía.
«La presencia de identificadores polimórficos únicos en cada correo electrónico de phishing garantiza que cada mensaje sea ligeramente diferente, ayudándoles a evitar los sistemas de detección tradicionales que dependen de indicadores estáticos como hashes o URL maliciosas conocidas».