Según una investigación reciente, una sofisticada campaña de phishing que se disfraza de comunicaciones oficiales de la Administración de la Seguridad Social (SSA) ha comprometido con éxito más de 2,000 dispositivos, según una investigación reciente.
El ataque, que aprovecha la confianza asociada con la correspondencia del gobierno, representa una evolución preocupante en las tácticas de ingeniería social diseñadas para entregar cargas útiles maliciosas a las víctimas desprevenidas.
Los ciberdelincuentes detrás de esta operación emplearon un enfoque de varias etapas, primero atrayendo a las víctimas con correos electrónicos que contienen enlaces a páginas de phishing diseñadas de manera convincente alojadas en la infraestructura de servicios web de Amazon.
La campaña engañosa dirigió a los usuarios a una página web fraudulenta que imitó las comunicaciones oficiales de la SSA, lo que los llevó a “acceder a la declaración” a través de un botón prominentemente que se muestra.
Al hacer clic, las víctimas fueron redirigidas a una página secundaria que contenía instrucciones de descarga para lo que parecía ser su declaración del Seguro Social.
El malware, disfrazado del nombre de archivo “us_socialstatmet_id544124.exe”, fue diseñado para parecer legítimo al tiempo que contiene un mecanismo sofisticado de puerta trasera.
Analistas de Cylararmor identificado El malware como un cargador especializado de aplicaciones .NET que ejecuta un proceso de infección en varias etapas.
Descripción general de malware (fuente – Cyberarmor)
Su análisis reveló que el ejecutable inicial sirve como un envoltorio que desempaqueta y lanza componentes integrados diseñados para establecer un acceso remoto persistente a los sistemas de víctimas.
Los datos de telemetría de la firma de seguridad confirman que un porcentaje significativo de los más de 2,000 usuarios que interactuaron con el señuelo de phishing, sin saberlo, instaló el software malicioso.
La efectividad de la campaña proviene de su explotación de entidades confiables, tanto la autoridad de la Administración del Seguro Social como la reputación de alojamiento de Amazon, para evitar el escepticismo de seguridad de los usuarios.
La orientación parece amplia en lugar de centrarse en industrias específicas, aunque se ha aconsejado a los sectores financiero y de atención médica que ejercen una vigilancia particular.
Mecanismo de infección
La sofisticación técnica del malware se hace evidente al examinar su marco operativo. Cuando se ejecuta, el cargador .NET recupera e implementa múltiples recursos integrados críticos para su funcionalidad.
Los componentes principales incluyen un resolución responsable de cargar dependencias almacenadas en una carpeta de ‘archivos’, que son necesarias para ejecutar el software de acceso remoto ScreenConnect.
El malware luego ejecuta un archivo ‘EntryPoint’ que funciona como el componente principal de puerta trasera, estableciendo la conexión con el servidor de comando y control del atacante en Secure.RatoscBom.com en el puerto 8041.
El análisis de la configuración del malware revela una estructura XML que especifica los parámetros de conexión para el cliente screenconnect.
Esta configuración contiene credenciales de autenticación codificadas que permiten al software establecer una sesión remota no autorizada sin alertar al usuario.
El uso del malware de herramientas de administración remota legítimas como ScreenConnect representa una tendencia preocupante de técnicas de “vivir fuera de la tierra” que aprovechan el software autorizado para fines maliciosos.
Toda la cadena de ataque demuestra un enfoque cuidadosamente orquestado: desde el correo electrónico de phishing inicial, hasta la página de destino alojada en AWS (hxxps: // odertaoa (.) S3.us-east-1.amazonaws.com/ssa/us/index.html), a la ejecución de descarga de descarga con su carga útil incrustada.
Este enfoque de varias capas ayuda a los atacantes a evadir los controles de seguridad tradicionales al tiempo que maximiza las tasas de éxito de la infección.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar Tria gratis de 14 días
