Ciberdelincuencia como Servicio, Gestión de Fraude y Ciberdelincuencia, Ransomware
Atacantes que implementan páginas web clonadas de WinSCP y SpyBoy para inyectar malware
Prajeet Nair (@prajeetspeaks) •
3 de julio de 2023
El grupo BlackCat ransomware-as-a-service está desarrollando un grupo de actividades de amenazas utilizando palabras clave seleccionadas de páginas web por organizaciones legítimas para implementar malware malicioso.
Vea también: Seminario web en vivo | Recupere el control de sus secretos: la salsa secreta para la seguridad de los secretos
Una organización anónima junto con los investigadores de Trend Micro descubrieron que los ciberdelincuentes realizaban actividades no autorizadas dentro de la red de la empresa utilizando una página clonada de WinSCP, una aplicación de transferencia de archivos de Windows de código abierto; y SpyBoy, un terminador que manipula la protección proporcionada por los agentes.
«Los distribuidores de malware abusan de la misma funcionalidad en una técnica conocida como publicidad maliciosa: secuestran palabras clave para mostrar anuncios maliciosos que atraen a los usuarios desprevenidos de los motores de búsqueda para que descarguen malware», según Trend Micro. informe.
Los atacantes robaron privilegios de administrador de alto nivel y también intentaron establecer persistencia y acceso de puerta trasera al entorno del cliente utilizando herramientas de administración remota.
Los investigadores notaron similitudes en las tácticas utilizadas en esta campaña con campañas anteriores realizadas por BlackCat.
«Junto con otros programas maliciosos y herramientas ya mencionados, pudimos identificar el uso del antivirus o el terminador SpyBoy de detección y respuesta antipunto final en un intento de alterar la protección proporcionada por los agentes», dijeron los investigadores. .
Para filtrar los datos, los atacantes utilizaron el cliente PuTTY Secure Copy para transferir la información. La investigación adicional de los dominios de comando y control utilizados por el actor de amenazas condujo al descubrimiento de una posible relación con el ransomware Clop.
Cadena de ataque
Usando técnicas de envenenamiento de SEO, los usuarios desprevenidos son engañados para que descarguen una aplicación clonada que contiene malware.
“El flujo de infección general implica entregar el cargador inicial, obtener el núcleo del bot y finalmente dejar caer la carga útil, generalmente una puerta trasera”, dijeron los investigadores.
La aplicación WinSCP en este caso contenía una puerta trasera que contenía Cobalt Strike Beacon, que permite un servidor remoto para operaciones de seguimiento.
Los investigadores también identificaron a los actores de amenazas utilizando algunas otras herramientas, como AdFind, que está diseñado para recuperar y mostrar información de los entornos de Active Directory.
«En manos de un actor de amenazas, AdFind puede usarse indebidamente para la enumeración de cuentas de usuario, la escalada de privilegios e incluso la extracción de hash de contraseña», dijeron los investigadores. Los malos actores también usaron la herramienta de administración remota AnyDesk en el entorno para mantener la persistencia.
