El actor de amenaza conocido como Hombre lobo pegajoso se ha relacionado con los ataques específicos principalmente en Rusia y Bielorrusia con el objetivo de entregar el malware del robador de Lumma mediante un implante previamente indocumentado.
La compañía de ciberseguridad Kaspersky está rastreando la actividad bajo el nombre de Angry Likho, que según tiene un «fuerte semejanza» para despertar a Likho (también conocido como Core Werewolf, Gamacopy y Pseudogamaredon).
«Sin embargo, los ataques de Angry Likho tienden a ser atacados, con una infraestructura más compacta, una gama limitada de implantes y un enfoque en los empleados de grandes organizaciones, incluidas las agencias gubernamentales y sus contratistas», dijo la compañía rusa.
Se sospecha que los actores de la amenaza son probables oradores rusos nativos dado el uso de ruso fluido en los archivos de cebo utilizados para desencadenar la cadena de infección. El mes pasado, la compañía de ciberseguridad F6 (anteriormente FACCT) lo describió como un «grupo cibernético pro-ucraniano».
Se ha encontrado que los atacantes destacan principalmente organizaciones en Rusia y Bielorrusia, con cientos de víctimas identificadas en la primera.
Las actividades de intrusión previas asociadas con el grupo han aprovechado los correos electrónicos de phishing como un conducto para distribuir varias familias de malware como NetWire, Rhadamanthys, Ozone Rat y una puerta trasera conocida como DarkTrack, la última de las cuales se lanza a través de un cargador llamado Ande Loader.
La secuencia de ataque implica el uso de correos electrónicos de phishing de lanza con un archivo adjunto atrapado (por ejemplo, archivos de archivo), dentro de los cuales hay dos archivos de acceso directo (LNK) de Windows y un documento de señuelo legítimo.
Los archivos de archivo son responsables de avanzar en la actividad maliciosa a la siguiente etapa, desatando un complejo proceso de varias etapas para implementar el robador de información de Lumma.
«Este implante se creó utilizando el instalador legítimo de código abierto, el sistema de instalación scriptable NullSoft y funciona como un archivo de autoextración (SFX)», dijo Kaspersky.
Se han observado los ataques que incorporan pasos para evadir la detección por parte de los proveedores de seguridad mediante una verificación de emuladores y entornos de sandboxed, lo que hace que el malware termine o reanude después de un retraso de 10,000 ms, una técnica también vea en implantes Awaken Likho.
Esta superposición ha planteado la posibilidad de que los atacantes detrás de las dos campañas compartan la misma tecnología o probablemente el mismo grupo que usa un conjunto diferente de herramientas para diferentes objetivos y tareas.
Lumma Stealer está diseñado para recopilar información de software del sistema e instalada de dispositivos comprometidos, así como datos confidenciales como cookies, nombres de usuario, contraseñas, números de tarjetas bancarias y registros de conexión. También es capaz de robar datos de varios navegadores web, billeteras de criptomonedas, extensiones de navegador Cryptowallet (Metamask), autenticadores y de aplicaciones Anydesk y Keepass.
«Los últimos ataques del grupo utilizan el Lumma Stealer, que recopila una gran cantidad de datos de dispositivos infectados, incluidos los detalles bancarios almacenados en el navegador y los archivos de CryptoWallet», dijo Kaspersky.
«El grupo se basa en utilidades maliciosas fácilmente disponibles obtenidas de los foros de Darknet, en lugar de desarrollar sus propias herramientas. El único trabajo que hacen es escribir mecanismos de entrega de malware al dispositivo de la víctima y elaborar correos electrónicos de phishing dirigidos».