Se ha observado una campaña de malware que ofrece un troyano de acceso remoto (RAT) llamado Asyncrat haciendo uso de cargas útiles de Python y túneles TryCloudflare.
«Asyncrat es un troyano de acceso remoto (rata) que explota el patrón de async/espera para una comunicación eficiente y asíncrona», investigadora de ForcePoint X-Labs Jyotika Singh dicho en un análisis.
«Permite a los atacantes controlar los sistemas infectados sigilosamente, exfiltrar los datos y ejecutar comandos mientras permanecen ocultos, lo que lo convierte en un ciberétrico significativo».
El punto de partida de la cadena de ataque de varias etapas es un correo electrónico de phishing que contiene una URL de Dropbox que, al hacer clic, descarga un archivo zip.
Presente dentro del archivo hay un archivo de acceso directo de Internet (URL), que sirve como un conducto para un archivo de acceso directo de Windows (LNK) responsable de llevar la infección más lejos, mientras que un documento PDF de señuelo aparentemente benigna se muestra al destinatario del mensaje.
Específicamente, el archivo LNK se recupera mediante una URL de TryCloudflare incrustada dentro del archivo URL. TryCloudflare es un servicio legítimo ofrecido por CloudFlare para exponer los servidores web a Internet sin abrir ningún puerto creando un canal dedicado (es decir, un subdominio en TryCloudflare[.]com) que proxies tráfico al servidor.
El archivo LNK, por su parte, desencadena a PowerShell para ejecutar un código JavaScript alojado en la misma ubicación que, a su vez, conduce a un script por lotes (BAT) capaz de descargar otro archivo zip. El archivo zip recién descargado contiene una carga útil de Python diseñada para lanzar y ejecutar varias familias de malware, como Asyncrat, Venom Rat y Xworm.
Vale la pena señalar que un leve variación La misma secuencia de infección se descubrió el año pasado propagando asíncrata, guloader, robador de Purelogs, rata REMCOS, rata de veneno y XWORM.
«Esta campaña de Asyncrat ha demostrado nuevamente cómo los piratas informáticos pueden usar infraestructuras legítimas como URL de Dropbox e TryCloudflare para su ventaja», señaló Singh. «Las cargas útiles se descargan a través de URL de Dropbox y la infraestructura temporal del túnel TryCloudflare, por lo tanto, engañando a los destinatarios para que crean su legitimidad».
El desarrollo llega en medio de un Surge en campañas de phishing Uso de phishing como servicio (Faas) Los kits de herramientas para realizar ataques de adquisición de cuentas dirigiendo a los usuarios a las páginas de destino falsas que imitan las páginas de inicio de sesión de plataformas de confianza como Microsoft, Google, Apple y GitHub.
Los ataques de ingeniería social realizados a través de correos electrónicos también han sido observado Aprovechando las cuentas de proveedores comprometidas para cosechar las credenciales de inicio de sesión de Microsoft 365 de los usuarios, una indicación de que los actores de amenaza están aprovechando la cadena de suministro interconectada y la confianza inherente para evitar mecanismos de autenticación de correo electrónico.
Algunas de otras campañas de phishing recientemente documentadas en las últimas semanas están a continuación.
- Ataques dirigirse a organizaciones en América Latina que utilizan documentos y recibos legales oficiales para distribuir y ejecutar Sapphirerat
- Ataques explotando dominios legítimosincluidos los que pertenecen a sitios web del gobierno («.gov»), para organizar páginas de cosecha de credenciales de Microsoft 365
- Ataques hacer pasar por agencias fiscales y organizaciones financieras relacionadas Para dirigir a los usuarios en Australia, Suiza, el Reino Unido y los EE. UU. Para capturar las credenciales de los usuarios, realizar pagos fraudulentos y distribuir malware como Asyncrat, MetaStealer, Venom Rat, Xworm
- Ataques que aprovechar Páginas de inicio de sesión de Servicios de inicio de sesión de Microsoft Active Directory Services (ADFS) para reunir credenciales y códigos de autenticación de factores múltiples (MFA) para ataques por correo electrónico de seguimiento financieramente motivados financieramente
- Ataques que emplear Trabajadores de la nube (trabajadores.dev) para organizar páginas de recolección de credenciales genéricas que imitan varios servicios en línea
- Ataques dirigido a organizaciones alemanas con el Implante de astillas bajo la apariencia de contratos de trabajo
- Ataques que utilizar Los personajes de bip-anchura y guión de oso bajo (también conocido como tímido) para evitar algunas verificaciones de seguridad de URL en correos electrónicos de phishing
- Ataques que Distribuir URL atrapadas que entregan sharware, programas potencialmente no deseados (cachorros) y otras páginas de estafadores como parte de una campaña nombrada Apateweb
Investigaciones recientes de Cloudsek también han demostrado que es posible explotar la infraestructura de Zendesk para facilitar los ataques de phishing y las estafas de inversión.
«Zendesk permite que un usuario se registre para una prueba gratuita de su plataforma SaaS, permitiendo el registro de un subdominio, que podría usarse mal para hacerse pasar por un objetivo», la compañía dichoagregar atacantes puede usar estos subdominios para entregar correos electrónicos de phishing agregando las direcciones de correo electrónico de los objetivos como «usuarios» al portal de Zendesk.
«Zendesk no realiza cheques por correo electrónico para invitar a los usuarios. Lo que significa que cualquier cuenta aleatoria se puede agregar como miembro. Se pueden enviar páginas de phishing, bajo la apariencia de boletos asignados a la dirección de correo electrónico».
