Los ciberdelincuentes están aprovechando cada vez más tácticas de personalización para mejorar la efectividad de sus campañas de phishing de entrega de malware, con los actores de amenaza que personalizan las líneas de asunto, los nombres de los archivos adjuntos y los enlaces integrados para crear un falso sentido de autenticidad y urgencia.
Este enfoque sofisticado representa una evolución significativa en las técnicas de ingeniería social, ya que los atacantes elaboran correos electrónicos que parecen legítimos al incorporar información específica de los receptores, detalles de la empresa y contenido contextualmente relevante que refleja las comunicaciones comerciales típicas.
Correo electrónico con temática de finanzas con personalización de sujetos utilizando la compañía del destinatario que ofrece RAT ConnectWise a través de una URL integrada (fuente-Cofense)
La estrategia de personalización se extiende más allá de la mera personalización de la línea de asunto para abarcar todo el ecosistema de correo electrónico, incluido el contenido del cuerpo del mensaje, los archivos adjuntos de archivos y los enlaces de descarga.
Al integrar la información de identificación personal (PII) a lo largo de estas comunicaciones, los actores de amenaza aumentan drásticamente la probabilidad de compromiso exitoso de las víctimas y la posterior implementación de malware.
Estas campañas se dirigen particularmente a sectores donde las comunicaciones personalizadas son comunes, como las finanzas, los viajes y las operaciones comerciales.
Análisis reciente de analistas de cofense identificado Cinco temas principales que dominan campañas de malware personalizadas: asistencia de viaje (36.78%), respuesta (30.58%), finanzas (21.90%), impuestos (3.72%) y notificación (3.72%).
Los correos electrónicos con temas de asistencia de viaje surgieron como el vector más frecuente, a menudo con malware Vidar Stealer capaz de recolectar credenciales de inicio de sesión, información bancaria, datos de billetera de criptomonedas y cookies de navegador.
Estas campañas generalmente alcanzan su punto máximo durante el cuarto trimestre debido al aumento de los viajes de vacaciones, lo que hace que los destinatarios sean más susceptibles a las comunicaciones relacionadas con los viajes.
La investigación, que abarca el tercer trimestre de 2023 al tercer trimestre de 2024, reveló que las campañas con temática de finanzas entregan predominantemente JRAT, un troyano de acceso remoto multiplataforma escrito en Java que permite la compatibilidad del sistema multiomobertres.
Los correos electrónicos temáticos de respuesta con frecuencia contienen malware Pikabot, que incorpora técnicas avanzadas de evasión de sandbox y sirve como mecanismo de entrega para cargas útiles maliciosas adicionales.
Tácticas de personalización de nombre de archivo avanzado
Un aspecto particularmente sofisticado de estos ataques personalizados implica la personalización estratégica de los nombres de archivos descargados para que coincidan con la información del destinatario.
Los investigadores de Cofense notaron una correlación directa entre las familias de malware específicas y las prácticas de personalización del nombre de archivo, con campañas de ratas JRAT y REMCOS que implementan consistentemente esta técnica en correos electrónicos con temática financiera.
Cuando JRAT sirve como carga útil, los actores de amenazas personalizan invariablemente tanto las asignaturas de correo electrónico como los nombres de archivos descargados, con ejemplos que incluyen “PAYO_SUMMARY_ (DinesterName) .pdf” y variaciones similares.
Las campañas de REMCOS RAT siguen patrones similares, con nombres de archivos como “(Destinato) tax_documents.zip” y “boq_47864594 (destinatario) _project_2024_05_13.cmd”.
Esta personalización de doble capa crea múltiples puntos de contacto de familiaridad, aumentando significativamente la probabilidad de una ejecución exitosa de malware.
Esta tendencia representa una evolución preocupante en la metodología de ataque cibernético, ya que las campañas personalizadas de entrega de malware pueden proporcionar a los actores de amenaza credenciales de acceso remoto que posteriormente se negocian con los operadores de ransomware, amplificando el impacto organizacional potencial más allá del compromiso inicial.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
