La actividad, descubierta por Proofpoint a partir del 5 de agosto de 2024, se disfraza de autoridades fiscales de gobiernos en Europa, Asia y Estados Unidos, con el propósito de atacar a más de 70 organizaciones globales. Utilizan una herramienta personalizada llamada Voldemort, diseñada para recopilar información y desplegar cargas adicionales.

Los sectores objetivo abarcan seguros, aeroespacial, transporte, academia, finanzas, tecnología, industria, atención médica, automotriz, hotelería, energía, gobierno, medios de comunicación, manufactura, telecomunicaciones y organizaciones de beneficios sociales.

La presunta campaña de ciberespionaje no ha sido atribuida a ningún actor de amenazas en particular. Se han enviado hasta 20.000 correos electrónicos como parte de los ataques.

Estos correos electrónicos afirman provenir de autoridades fiscales de EE. UU., Reino Unido, Francia, Alemania, Italia, India y Japón, y alertan a los destinatarios sobre cambios en sus declaraciones de impuestos, instándolos a hacer clic en las URL de caché AMP de Google que redirigen a los usuarios a una página de destino intermedia.

La página inspecciona la cadena User-Agent para determinar si el sistema operativo es Windows y, de ser así, explota el controlador de protocolo search-ms: URI para mostrar un archivo de acceso directo de Windows (LNK) que utiliza un Adobe Acrobat Reader para hacerse pasar por un archivo PDF, en un intento de engañar a la víctima para que lo abra.

“Si se ejecuta el LNK, invocará PowerShell para ejecutar Python.exe desde un tercer recurso compartido WebDAV en el mismo túnel (\library), pasando un script de Python desde un cuarto recurso compartido (\resource) en el mismo host como argumento”, explicaron los investigadores de Proofpoint Tommy Madjar, Pim Trouerbach y Selena Larson.

“Esto permite que Python ejecute el script sin descargar ningún archivo en la computadora, con las dependencias cargadas directamente desde el recurso compartido WebDAV”.

El script de Python está diseñado para recopilar información del sistema y enviar los datos en forma de una cadena codificada en Base64 a un dominio controlado por un actor, tras lo cual muestra un PDF señuelo al usuario y descarga un archivo ZIP protegido con contraseña desde OpenDrive.

El archivo ZIP contiene dos archivos: un ejecutable legítimo llamado “CiscoCollabHost.exe” que es vulnerable a la carga lateral de DLL, y un archivo DLL malicioso llamado “CiscoSparkLauncher.dll” (es decir, Voldemort), que se carga lateralmente.

Voldemort es una puerta trasera personalizada escrita en C, equipada con capacidades para recopilar información y cargar cargas útiles en fases posteriores. El malware utiliza Google Sheets para su C2, exfiltración de datos y ejecución de comandos por parte de los operadores.

“La combinación frankensteiniana de capacidades avanzadas y sofisticadas, junto con técnicas y funcionalidades bastante simples, dificulta evaluar con precisión el nivel de habilidad del actor de la amenaza y determinar con confianza los objetivos finales de la campaña”.

Este desarrollo surge después de que Netskope Threat Labs descubriera una versión actualizada de Latrodectus (versión 1.4), que incluye un nuevo punto final C2 y añade dos nuevos comandos de puerta trasera que permiten descargar shellcode de un servidor específico y recuperar archivos arbitrarios desde una ubicación remota.

“Latrodectus ha evolucionado rápidamente, añadiendo nuevas características a su carga útil”, afirmó el investigador de seguridad Leandro Fróes. “Comprender las actualizaciones realizadas a su carga útil permite a los defensores mantener correctamente configurados los canales automatizados y utilizar la información para buscar nuevas variantes”.

Fuente: thehackernews.com