esenfrdeitptru

Campaña de ataques para distribuir Malware en América Latina

AS-029-2024

Fecha: 25/Abr/2024

Resumen:

Una nueva campaña ejecutada por el grupo de hackers TA558, oculta código malicioso dentro de las imágenes utilizando esteganografía con el propósito de entregar varias herramientas de malware en sistemas específicos. La esteganografía es la técnica de ocultar datos dentro de archivos aparentemente inofensivos para hacerlos indetectables para los usuarios y para los productos de seguridad.

Malware.

La amplia gama de malware insertado son: AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger, XWorm los cuales permiten la administración remota de la máquina comprometida, ejecución de comandos, capturas de pulsaciones de teclas, el encendido de cámara web y micrófono, recopilación de contraseñas, capturas de pantallas, extracción de información confidencial, distribución de cargas útiles secundarias para evadir la detección del antivirus, entre otras.

TA558 es un actor de amenazas que ha estado activo desde 2018, este grupo es conocido por apuntar a organizaciones hoteleras y turísticas en todo el mundo, centrándose en América Latina. La última campaña del grupo, fue denominada "SteganoAmor" debido al amplio uso de la esteganografía, esta campaña fue descubierta por Positive Technologies.

Los investigadores identificaron más de 320 ataques en esta campaña que afectaron a varios sectores y países. Los ataques comienzan con correos electrónicos maliciosos que contienen documentos adjuntos aparentemente inofensivos (archivos Excel y Word) que explotan la falla CVE-2017-11882, una vulnerabilidad común del Editor de ecuaciones de Microsoft Office corregida en 2017.

Los correos electrónicos se envían desde servidores SMTP comprometidos para minimizar las posibilidades de que los mensajes sean bloqueados ya que provienen de dominios legítimos.

Si se instala una versión antigua de Microsoft Office, el exploit descargará un script de Visual Basic (VBS) del archivo legítimo al abrir el servicio file. ee'. Luego, este script se ejecuta para recuperar un archivo de imagen (JPG) que contiene una carga útil codificada en base 64.

Las cargas útiles finales y los scripts maliciosos a menudo se almacenan en servicios legítimos en la nube como Google Drive, aprovechando su buena reputación, lo cual evita que sean señalados por herramientas antivirus, luego la información robada se envía a servidores FTP legítimos comprometidos utilizados como infraestructura de comando y control (C2) para que el tráfico parezca normal.

Positive Technologies descubrió más de 320 ataques, la mayoría centrados en países de América Latina, pero el alcance de los ataques se extiende a todo el mundo.

Muestra de documento utilizado en el ataque.

  Imagen1 AS 029 2024Imagen2 AS 029 2024

Imágenes: Muestra del archivo e imagen utilizada con esteganografía

Signos de compromiso-IOCs

IOC de la imagen: new_image.jpg (SHA-256: 1435aef381b7e31245e2ca66818209a7f8d54daef4d0db25ef78b3a9fec3242b)
IOC del archivo word: Lista de productos 2.docx" (SHA-256: 54376ee15cca7c6cdecc27b701b85bdd2aa618fe8158a453d65030425154299a)
El archivo Word redirecciona a la siguiente URL: 23.95.122[.]104/htm/1/HTMLbrowserIEchromeHistoryCleaner.doc
El IOCs del archivo que se baja es (SHA-256: 6cab2705e5bfe56db1e9a74c8af9dca162de7631dd8dc074685dcb9c1dc7c5a2

ORDER_SPECIFICATIONS_OFFER.xla" (SHA-256: 93946883de3d4074ac4baed60abcc3f2d0c57c8ef6e41ceaedbc5ca0de55dc30)

URL qly[.]ai/p5Zpt
147.185.243[.]107/45700/beautifulglobe.jpg

paste[.]ee/d/NYO9X
147.185.243[.]107/45700/MACC.txt:
SHA-256: bd296301230adac77b09dc91d06ec26adbc49d015ea7d1b4f68b6805c2b5ee55

107.175.31.187/7508/iconimages.jpg, el script contiene embebido el URL
URL: paste.ee/d/G5J31, este contiene embebido dos links.
uploaddeimagens.com .br/images/004/755/997/original/new_image_r.jpg?1710413993
uploaddeimagens.com .br/images/004/755/997/original/new_image_r.jpg?1710413993

23.94.239.119/_—00_o______---0o0_00_0oo_0-o_o0-__________o0o-__________/ozzwerdfdghjfdggsahfhfghf.doc
SHA-256: adc6a50e5985c31f0ed5ea885edd73e787f893f709591e5cf795fd78403d1430, contiene una URL: 23.94.239.119/112/vbc.exe, se envía información a la URL: sempersim.su/ha1/fre.php

Recomendaciones.

  • Actualizar Microsoft Office a una versión más reciente para que estos ataques sean ineficaces.
  • Verificar siempre el remitente: Antes de hacer clic en cualquier enlace o descargar archivos adjuntos, asegúrese de verificar la legitimidad del remitente. Si algo parece inusual o sospechoso, comunicarse con el CSIRT de la
  • PN mediante un correo a Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., para confirmar la autenticidad del correo electrónico.
  • Nunca descargar archivos desde fuentes sospechosas o desconocidas. Si va a realizar transacciones en línea asegúrese que el portal que visita sea https.
  • Nunca comparta información confidencial, como contraseñas o datos bancarios, a través de correos electrónicos. La DGIP nunca solicitará este tipo de información.
  • Utilice el doble Factor de autenticación.
  • Respalde la información Importante.
  • Informar un incidente: Si cree haber recibido un correo electrónico de phishing, luego de lo cual se registra actividades sospechosas, informe de inmediato al CSIRT de la EPN.

Referencias:

Correo First: Dylan Roth

https://www.bleepingcomputer.com/news/security/new-steganoamor-attacks-use-steganography-to-target-320-orgs-globally/

Tlp Clear 2023