Ha surgido una sofisticada campaña de espionaje cibernético atribuida a APT Muddywater, dirigida a los directores financieros y ejecutivos financieros en Europa, América del Norte, América del Sur, África y Asia.
Los actores de amenaza están desplegando una operación de phishing en varias etapas que se disfraza de comunicaciones de reclutamiento legítimas de Rothschild & Co, aprovechando las páginas de phishing alojadas de Firebase con desafíos de captcha personalizados para engañar a los objetivos de alto valor.
La campaña demuestra una evolución significativa en las tácticas del grupo, incorporando herramientas de acceso remoto legítimos que incluyen NetBird y OpenSSH para establecer las puertas traseras persistentes dentro de las redes corporativas.
La secuencia de ataque comienza con correos electrónicos de phishing de lanza cuidadosamente elaborados que dirigen a las víctimas a dominios alojados en la base de fuego como Googl-6c11f.fireBaseApp.com, donde los objetivos enfrentan desafíos de “verificación humana” aparentemente legítimas.
Al completar estas pruebas de captcha fabricadas, las víctimas son redirigidas a sitios de phishing secundarios que entregan archivos de cremallera maliciosos disfrazados de documentos PDF.
Campaña de phishing de lanza instalación de NetBird y habilitación de acceso remoto (fuente-Hunt.io)
Estos archivos contienen archivos VBScript que inician un complejo proceso de infección en varias etapas diseñado para implementar capacidades de acceso remoto mientras mantienen sigilo.
Analistas de Hunt.io identificado La infraestructura crítica cambia dentro de esta campaña, señalando la transición de los servidores de comando y control previamente documentados en 192.3.95.152 a una nueva infraestructura a 198.46.178.135.
Los investigadores descubrieron múltiples proyectos de Firebase que utilizan kits de phishing idénticos, incluidos Cloud-Ed980.firebaseApp.com y Cloud-233F9.Web.App, todos empleando mecanismos de redirección cifrados con AES con frases de transferencia de codificación dura para evadir los sistemas de detección.
Los mecanismos de persistencia del malware representan un aspecto particularmente preocupante de esta campaña.
El descargador inicial de VBS (F-144822.vbs) recupera una carga útil secundaria de la infraestructura controlada por el atacante, dirigida específicamente a la ruta /34564/cis.ico, que se renombra a cis.vbs tras la ejecución.
Este script de la segunda etapa realiza varias funciones críticas, incluida la instalación silenciosa de los paquetes NetBird y OpenSSH MSI utilizando la siguiente estructura de comando:–
msiexec /i netbird.msi /silencio msiexec /i openssh.msi /silencio
Persistencia avanzada e implementación de acceso remoto
El elemento más sofisticado de la campaña radica en su estrategia integral de persistencia, que combina múltiples herramientas legítimas para establecer canales de acceso redundantes.
El malware crea una cuenta administrativa oculta llamada “Usuario” con la contraseña “BS@202122”, proporcionando efectivamente a los atacantes acceso de sistema privilegiado que persiste en los reinicios del sistema.
Esta cuenta está estratégicamente oculta de las pantallas de inicio de sesión de Windows a través de modificaciones de registro, asegurando que permanezca sin ser detectado durante las actividades de administración de sistemas de rutina.
Página falsa de Google Drive que solicita a los usuarios que complete una recaptcha (fuente – Hunt.io)
El despliegue de NetBird utiliza una clave de configuración preconfigurada (E48E4A70-4CF4-4A77-946B-C8E50A60855A) para establecer conexiones seguras de túnel, al tiempo que habilita los servicios de protocolo de escritorio remoto y la configuración de las excepciones de firewall.
El malware garantiza la confiabilidad del servicio a través de la creación de tareas programada, implementando específicamente las tareas “ForcenetBirdrestart” que reinician automáticamente los servicios de NetBird después de los retrasos en el inicio del sistema.
Además, la campaña elimina los atajos de escritorio NetBird de todos los perfiles de usuario, ocultando efectivamente la presencia de software de acceso remoto recién instalado de la observación casual por administradores o usuarios del sistema.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
