[ad_1]
Las organizaciones rusas se han dirigido como parte de una campaña en curso que ofrece un spyware de Windows previamente indocumentado llamado Batavia.
La actividad, por proveedor de ciberseguridad Kaspersky, ha estado activa desde julio de 2024.
«El ataque objetivo comienza con correos electrónicos de cebo que contienen enlaces maliciosos, enviados con el pretexto de firmar un contrato», la compañía rusa dicho. «El objetivo principal del ataque es infectar a las organizaciones con el software espía de Batavia previamente desconocido, que luego procede a robar documentos internos».
Los mensajes de correo electrónico se envían desde el dominio «Oblast-Ru[.]com, «que se dice que es propiedad de los propios atacantes. Los enlaces incrustados dentro de las misivas digitales conducen a la descarga de un archivo de archivo que contiene un archivo de script (.vbe) codificado de Visual Basic.
Cuando se ejecuta, el script perfila el host comprometido y exfiltrata la información del sistema al servidor remoto. Esto es seguido por la recuperación de una carga útil de la próxima etapa del mismo servidor, un ejecutable escrito en Delphi.
Es probable que el malware muestre un contrato falso para la víctima como distracción al recopilar registros del sistema, documentos de oficina ( *.doc, *.docx, *.ods, *.odt, *.pdf, *.xls y *.xlsx) y capturas de pantalla en el fondo. La recopilación de datos también se extiende a dispositivos extraíbles unidos al host.
Otra capacidad del malware Delphi es descargar un binario propio del servidor, que se dirige a un conjunto más amplio de extensiones de archivos para la colección posterior. Esto incluye imágenes, correos electrónicos, presentaciones de Microsoft PowerPoint, archivos de archivo y documentos de texto ( *.jpeg, *.jpg, *.cdr, *.csv, *.eml, *.ppt, *.pptx, *.odp, *.rar, *.zip, *.rtff y *.txt).
Los datos recién recopilados se transmiten a un dominio diferente («Ru-Exchange[.]com «), desde donde se descarga un ejecutable desconocido como una cuarta etapa para continuar la cadena de ataque.
Los datos de telemetría de Kaspersky muestran que más de 100 usuarios de varias docenas de organizaciones recibieron correos electrónicos de phishing durante el año pasado.
«Como resultado del ataque, Batavia exfiltra los documentos de la víctima, así como información como una lista de programas instalados, conductores y componentes del sistema operativo», dijo la compañía.
La divulgación se produce cuando Fortinet Fortiguard Labs detalló una campaña maliciosa que ofrece un llamado en el nombre de Malware de Windows Norddragonscan. Si bien el vector de acceso inicial exacto no está claro, se cree que es un correo electrónico de phishing que propaga un enlace para desencadenar la descarga de un archivo RAR.
«Una vez instalado, Norddragonscan examina los documentos del host y copia, cosecha los perfiles enteros de Chrome y Firefox, y toma capturas de pantalla», la investigadora de seguridad Cara Lin dicho.
Presente dentro del archivo hay un archivo de acceso directo (LNK) de Windows que hace sigilosamente utiliza «mshta.exe» para ejecutar una aplicación HTML (HTA) alojada remotamente. Este paso da como resultado la recuperación de un documento de señuelo benigno, mientras que una nefasta carga útil de .NET se cae en silencio en el sistema.
Norddragonscan, como se llama el malware del robador, establece conexiones con un servidor remoto («Kpuszkiev[.]com «), establece la persistencia a través de cambios en el registro de Windows y realiza un amplio reconocimiento de la máquina comprometida para recopilar datos confidenciales y exfiltrar la información al servidor a través de una solicitud posterior a HTTP.
«El archivo RAR contiene llamadas LNK que invocan mshta.exe para ejecutar un script HTA malicioso, mostrando un documento de señuelo en ucraniano, dijo Lin.» Finalmente, instala silenciosamente su carga útil en segundo plano. Norddragonscan es capaz de escanear el host, capturar una captura de pantalla, extraer documentos y PDF, y olfatear perfiles de Chrome y Firefox «.
[ad_2]
Enlace fuente
