Una versión actualizada de un malware que roba información llamado Rhadamanthys se está utilizando en campañas de phishing dirigidas al sector del petróleo y el gas.
«Los correos electrónicos de phishing utilizan un señuelo único para incidentes vehiculares y, en etapas posteriores de la cadena de infección, falsifican a la Oficina Federal de Transporte en un PDF que menciona una multa significativa por el incidente», dijo el investigador de Cofense Dylan Duncan. dicho.
El mensaje de correo electrónico viene con un enlace malicioso que aprovecha una falla de redireccionamiento abierta para llevar a los destinatarios a un enlace que alberga un supuesto documento PDF, pero, en realidad, es una imagen que, al hacer clic, descarga un archivo ZIP con la carga útil del ladrón.
Escrito en C++, Radamantis está diseñado para establecer conexiones con un servidor de comando y control (C2) para recopilar datos confidenciales de los hosts comprometidos.
«Esta campaña apareció pocos días después de que las fuerzas del orden eliminaran el grupo de ransomware LockBit», dijo Duncan. «Si bien esto podría ser una coincidencia, Trend Micro reveló en agosto de 2023 una variante de Rhadamanthys que venía incluida con una carga útil LockBit filtrada, junto con un malware clipper y un minero de criptomonedas.
«Los actores de amenazas agregaron una combinación de un ladrón de información y una variante de ransomware LockBit en un solo paquete de Rhadamanthys, lo que posiblemente indica la evolución continua del malware», dijo la compañía. anotado.
El desarrollo se produce en medio de un flujo constante de nuevas familias de malware ladrón como Programador de sincronización y Poderoso ladrónincluso cuando cepas existentes como StrelaStealer son evolucionando con técnicas mejoradas de ofuscación y antianálisis.
También sigue el surgimiento de un campaña de malspam apuntando a Indonesia que emplea señuelos relacionados con la banca para propagar el Malware del agente Tesla para saquear información confidencial como credenciales de inicio de sesión, datos financieros y documentos personales.
Las campañas de phishing del agente Tesla observadas en noviembre de 2023 también han puesto sus miras en Australia y EE. UU., según Check Point, que atribuyó las operaciones a dos actores de amenazas de origen africano rastreados como Bignosa (también conocido como Nosakhare Godson y Andrei Ivan) y Gods (también conocido como GODINHO o Kmarshal o Kingsley Fredrick), este último trabaja como diseñador web.
«El actor principal [Bignosa] «parece ser parte de un grupo que opera campañas de malware y phishing, dirigidas a organizaciones, como lo atestiguan las bases de datos comerciales de correo electrónico de EE. UU. y Australia, así como a individuos», dijo la compañía israelí de ciberseguridad. dicho.
Se ha descubierto que el malware Agent Tesla distribuido a través de estas cadenas de ataque está protegido por Cassandra Protector, que ayuda a proteger los programas de software contra esfuerzos de modificación o ingeniería inversa. Los mensajes se envían a través de una herramienta de correo web de código abierto llamada RoundCube.
«Como se ve en la descripción de las acciones de estos actores de amenazas, no se requiere ningún título científico para llevar a cabo las operaciones de cibercrimen detrás de una de las familias de malware más frecuentes en los últimos años», Check Point dicho.
«Es un desarrollo desafortunado de los acontecimientos causado por el umbral de nivel de entrada bajo, por lo que cualquiera que esté dispuesto a provocar a las víctimas para que lancen el malware a través de campañas de spam puede hacerlo».