Visit Blog
Explore Tumblr blogs with no restrictions, modern design and the best experience.
#modificaciones automotrices
tnecom-canarias · a month ago
Text
ūüõϬ°Cuidado!ūüõĎ Campa√Īa de Phishing a escala global activa.
Una campa√Īa de phishing a escala global dirigida a organizaciones de todo el mundo est√° activa y va dirigida a una amplia gama de industrias con cepas de malware nunca antes vistas entregadas a trav√©s de se√Īuelos especialmente dise√Īados.
Tumblr media
Ya esto lo ūüĎÄ entre el Noviembre y Diciembre.
Los ataques afectaron al menos a 50 organizaciones de una amplia variedad de industrias en dos oleadas, el 2 de diciembre y entre el 11 y el 18 de diciembre.
Se¬† implementaron tres nuevas variantes¬† de malware en las computadoras de los objetivos utilizando se√Īuelos de phishing personalizados. Estos ataques son realizados mediante un m√©todo de ofuscaci√≥n, y el malware sin archivos para complicar la detecci√≥n y ofrecer una puerta trasera bien codificada y extensible.
Tumblr media
¬ŅY como fue posible esto?
Pues los Ciberdelincuentes usaron correos electrónicos de phishing con enlaces a un descargador basado en
" JavaScript (denominado DOUBLEDRAG)"
Y un documento de Excel con una macro incrustada que descargó un cuentagotas en memoria basado en PowerShell (conocido como DOUBLEDROP ) de los atacantes.
"Servidores de comando y control"(C2).
En una investigaci√≥n sobre el proceso se pudo observar que la puerta trasera se inyecta en el proceso de PowerShell generado por el cuentagotas. A√ļn as√≠, est√° dise√Īado para intentar luego inyectarse en un proceso de Windows Installer (msiexec.exe) reci√©n generado si el¬† antivirus no se est√° ejecutando en el sistema.
En la siguiente etapa, la puerta trasera DOUBLEBACK carga su complemento y se comunica con el servidor C2 en un bucle para obtener comandos para ejecutar en el dispositivo infectado.
Y el resto de los componentes se serializan en la base de datos del registro, lo que dificulta su detecci√≥n, especialmente por los motores antivirus basados ‚Äč‚Äčen archivos.
También se pudo detectar que aproximadamente 50 dominios  se utilizaron para entregar los correos electrónicos de phishing.
Los Ciberdelincuentes también invirtieron  tiempo en adaptar sus ataques a las víctimas objetivo, en evidentes intentos de asegurarse de que sus correos electrónicos fueran vistos como mensajes legítimos de socios comerciales o clientes.
Usaron esta t√°ctica para aumentar las posibilidades de que sus mensajes con trampas explosivas se abrieran y los objetivos se infectaran.
Haciéndose pasar por el ejecutivo de cuentas, se observaron siete correos electrónicos de phishing dirigidos a la industria médica, la electrónica de alta tecnología, los fabricantes de equipos militares y automotrices, y un contratista de defensa autorizado con líneas de asunto muy específicas para los productos de la empresa de fabricación de productos electrónicos con sede en California.
La campa√Īa de phishing , no se centro en una sola industria vertical o en una sola regi√≥n durante las dos oleadas de ataques.
Si bien el √°rea objetivo principal de los Ciberdelincuentes fue Estados Unidos, los ataques tambi√©n se dirigieron a organizaciones de EMEA (Europa, Oriente Medio y √Āfrica), Asia y Australia.
La estructura de las URL incrustadas en estos correos electrónicos de phishing tenía los siguientes patrones, donde la cadena era una variable alfabética de función desconocida.
http: // <fqdn> / downld-id_ <cadena>
http: // <fqdn> / downld-id- <cadena>
http: // <fqdn> / files-upload_ <cadena>
http: // <fqdn> / files-upload- <cadena>
http: // <fqdn> / get_file-id_ <cadena>
http: // <fqdn> / get_file-id- <cadena>
http: // <fqdn> / zip_download_ <cadena>
http : // <fqdn> / zip_download- <cadena>
La carga √ļtil de la primera etapa descargada de estas URL consist√≠a en un archivo comprimido Zip que conten√≠a un documento PDF se√Īuelo corrupto y un descargador de JavaScript muy ofuscado. Curiosamente, los documentos PDF se obtuvieron de sitios web p√ļblicos, pero se corrompieron al eliminar bytes para hacerlos ilegibles con un visor de PDF est√°ndar. Se especula que la v√≠ctima intentar√≠a lanzar el archivo JavaScript (.js), que se puede ejecutar de forma nativa con Windows Script Host simplemente haciendo doble clic en el archivo. Todos menos uno de los patrones de nombre de archivo para los archivos ZIP, PDF y JS eran document_ <state> _client-id_ <n√ļmero de 4 d√≠gitos> .extension, como ‚Äúdocument_Ohio_client-id_8902.zip‚ÄĚ.
Cada uno de los descargadores de DOUBLEDRAG observados utilizados en la primera ola intent√≥ descargar un cuentagotas de memoria de segunda etapa,¬† como DOUBLEDROP, desde hxxp: // p-leh [.] Com / update_java.dat o hxxp: / /clanvisits[.]com/mini.dat. El archivo descargado es un script de PowerShell muy ofuscado que abrir√° una puerta trasera en la memoria. Esta puerta trasera de la tercera etapa como DOUBLEBACK. Las muestras DOUBLEBACK observadas durante la campa√Īa de phishing se transmitieron a hxxps: // klikbets [.] Net / admin / client.php y hxxps: // lasartoria [.] Net / admin / client.php.
Antes de la segunda ola, observada entre el 11 y el 18 de diciembre, Los Ciberdelincuentes secuestraron, un dominio leg√≠timo propiedad de una empresa de servicios de calefacci√≥n y aire acondicionado de EE. UU.,¬† seg√ļn se pudo comprobar, que modificaron las entradas de DNS y aprovecharon esa infraestructura para realizar suplantaci√≥n de identidad de al menos 22 organizaciones, cinco de las cuales tambi√©n fueron el objetivo de la primera ola. Actualmente no se sabe c√≥mo se vio comprometido el dominio leg√≠timo. Los Ciberdelincuentes utilizaron 20 dominios recientemente observados para alojar la carga √ļtil de la segunda etapa.
Los Ciberdelincuentes, realizaron ligeras modificaciones en el patrón de URL durante la segunda ola. 
http: // <fqdn> / <cadena> http: // <fqdn> / dowld_ <cadena> http: // <fqdn> / download_ <cadena> http: // <fqdn> / files_ <cadena> http: / / <fqdn> / id_ <cadena> http: // <fqdn> / upld_ <cadena>
En esta campa√Īa de phishing global, se reconoce cierto sesgo de telemetr√≠a, en ambas oleadas, EE. UU. Fue el objetivo principal, mientras que la orientaci√≥n a EU EMEA y Asia y Australia se dispersaron uniformemente en la primera oleada.
0 notes