Al menos tres grupos diferentes de amenazas persistentes avanzadas (APT) de todo el mundo han lanzado campañas de spear-phishing a mediados de marzo de 2022 utilizando la actual guerra ruso-ucraniana como señuelo para distribuir malware y robar información sensible.
Las campañas, llevadas a cabo por El Machete, Lyceum y SideWinder, se han dirigido a diversos sectores, como el energético, el financiero y el gubernamental en Nicaragua, Venezuela, Israel, Arabia Saudí y Pakistán.
“Los atacantes utilizan señuelos que van desde documentos de apariencia oficial hasta artículos de noticias o incluso anuncios de trabajo, dependiendo de los objetivos y la región”, dijo Check Point Research en un informe. “Muchos de estos documentos señuelo utilizan macros maliciosas o inyección de plantillas para ganar un punto de apoyo inicial en las organizaciones objetivo, y luego lanzar ataques de malware”.
Las cadenas de infección de El Machete, un actor de amenaza de habla hispana documentado por primera vez en agosto de 2014 por Kaspersky, implican el uso de documentos señuelo con macros para desplegar un troyano de acceso remoto de código abierto llamado Loki.Rat que es capaz de cosechar pulsaciones de teclas, credenciales y datos del portapapeles, así como llevar a cabo operaciones de archivos y ejecutar comandos arbitrarios.
Una segunda campaña es del grupo APT iraní conocido como Lyceum que, según Check Point, lanzó un ataque de phishing utilizando un correo electrónico supuestamente sobre “crímenes de guerra rusos en Ucrania” para entregar droppers .NET y Golang de primera etapa, que luego se utilizan para desplegar una puerta trasera para ejecutar archivos recuperados de un servidor remoto.
Otro ejemplo es SideWinder, un equipo patrocinado por el estado que se dice que opera en apoyo de los intereses políticos de la India y con un enfoque específico en sus vecinos China y Pakistán. La secuencia de ataque, en este caso, emplea un documento armado que explota el fallo Equation Editor de Microsoft Office (CVE-2017-11882) para distribuir malware de robo de información.
Los hallazgos se hacen eco de advertencias similares del Grupo de Análisis de Amenazas (TAG) de Google, que reveló que los grupos de amenazas respaldados por estados-nación de Irán, China, Corea del Norte y Rusia y numerosos otros actores criminales y con motivación financiera están aprovechando los temas relacionados con la guerra en campañas de phishing, intentos de extorsión en línea y otras actividades maliciosas.
Con información de The Hacker News.