Los cibercriminales han desarrollado sus tácticas de ingeniería social con una sofisticada campaña de malware que explota la confianza de los usuarios en las instituciones financieras.
La última amenaza implica un archivo LNK malicioso disfrazarse de una ventana emergente de autenticación de correo electrónico de seguridad de la tarjeta de crédito, específicamente que se dirige a los usuarios desprevenidos a través de convenciones engañosas del nombre de archivo como Card_Detail_20250610.html.lnk.
Este ataque representa un cambio preocupante en los métodos de distribución de malware, aprovechando la urgencia y la legitimidad asociadas con las notificaciones de seguridad de la tarjeta de crédito para evitar el escepticismo del usuario.
La campaña demuestra técnicas de evasión avanzadas al incorporar archivos de señuelo legítimos junto con cargas útiles maliciosas.
A diferencia de los ataques tradicionales que se basan en señuelos basados en documentos, este actor de amenaza emplea archivos HTML para crear interfaces de autenticación convincentes de la compañía de tarjetas de crédito.
Documento de cebo disfrazado de ventana emergente de autenticación de correo electrónico de seguridad de la compañía de tarjetas de crédito (fuente-ASEC)
Cuando los usuarios ejecutan el archivo LNK, el malware descarga y muestra simultáneamente una página HTML de aspecto legítimo, enmascarando efectivamente sus actividades maliciosas mientras mantiene la ilusión de un proceso de seguridad genuino.
Analistas de ASEC identificado Esta amenaza emergente a través de su monitoreo continuo de las campañas de distribución de malware.
Los investigadores señalaron que los actores de amenaza han mejorado significativamente sus técnicas de suplantación, específicamente dirigidos a organizaciones financieras altamente reputables para maximizar sus tasas de éxito.
Esta tendencia donde los cibercriminales explotan cada vez más la confianza institucional para facilitar el compromiso inicial.
Infección avanzada y mecanismo de persistencia
La cadena de infección del malware demuestra capacidades sofisticadas de despliegue de varias etapas.
Tras la ejecución, el archivo LNK desencadena la descarga de un archivo HTA y el documento HTML de señuelo en el directorio temporal del sistema.
Posteriormente, el componente HTA crea dos archivos críticos en la C: \ Users \ {UserName} \ AppData \ Local Directory: sys.dll (la carga útil maliciosa primaria) y user.txt (que contiene URL de descarga para componentes adicionales).
URL para descargar archivos adicionales (fuente – ASEC)
El malware emplea la técnica de carga DLL reflectante a través de RunDLL32.exe, lo que le permite ejecutar tres módulos especializados: APP, NET y Notepad.log.
El módulo de la aplicación se dirige específicamente a los navegadores basados en el cromo, incluidos Chrome, Brave y Edge para la recolección de credenciales, mientras que Net expande el alcance para incluir Opera, Firefox y los principales servicios web como Google, Yahoo, Facebook y Outlook.
El componente Notepad.Log funciona como una puerta trasera integral, que proporciona acceso remoto de shell, capacidades de enumeración de archivos y funcionalidad de keylogging que almacena datos capturados en el directorio C: \ Users \ {UserName} \ AppData \ Local \ Netey.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
