Analistas de amenazas han descubierto un nuevo y sofisticado ataque de phishing que utiliza un malware de robo de información oculto que filtra una amplia gama de datos confidenciales.
Este malware no solo se dirige a tipos de datos tradicionales como contraseñas guardadas, sino que también incluye cookies de sesión, información de tarjetas de crédito, extensiones relacionadas con Bitcoin e historial de navegación.
Los datos recopilados se envían luego como un archivo adjunto comprimido a una cuenta de correo electrónico remota, lo que destaca un cambio significativo en las capacidades del robo de información.
Según un aviso publicado por Barracuda Networks, el ataque comienza con un correo electrónico de phishing que incita a los destinatarios a abrir un archivo de orden de compra adjunto.
Estos correos electrónicos, caracterizados por errores gramaticales, provienen de una dirección falsa. El archivo adjunto contiene un archivo de imagen de disco ISO, una réplica exacta de los datos de discos ópticos como CD o DVD. Dentro de este archivo de imagen se encuentra incrustado un archivo HTA (aplicación HTML), que permite la ejecución de aplicaciones en el escritorio sin las limitaciones de seguridad de un navegador.
Al ejecutar el archivo HTA, se activa una secuencia de cargas útiles maliciosas. Esta secuencia comienza con la descarga y ejecución de un archivo JavaScript ofuscado desde un servidor remoto, que luego activa un archivo PowerShell que recupera un archivo ZIP del mismo servidor.
El archivo ZIP contiene un malware de robo de información basado en Python.
Este malware opera brevemente para recopilar datos y luego elimina todos los archivos, incluido él mismo, para evitar ser detectado.
El robo de información está diseñado para recopilar información y archivos completos del navegador.
Extrae claves maestras de navegadores como Chrome, Edge, Yandex y Brave, y captura cookies de sesión, contraseñas guardadas, información de tarjetas de crédito e historiales de navegación. Además, el malware copia datos de extensiones de navegador relacionadas con Bitcoin, incluidas MetaMask y Coinbase Wallet.
El malware ataca archivos PDF y comprime directorios completos, incluidos los de Escritorio, Descargas, Documentos y carpetas específicas %AppData%. Los datos robados se envían por correo electrónico a varias direcciones en el dominio maternamedical.top, cada una designada para tipos específicos de información como cookies, archivos PDF y extensiones de navegador.
Según Barracuda, este ataque representa una nueva frontera en las amenazas de exfiltración de datos, ya que la amplia gama de capacidades de recopilación de datos del malware plantea graves riesgos.
Las estrategias clave recomendadas por la empresa incluyen la implementación de protocolos de seguridad sólidos, el monitoreo continuo de actividades sospechosas y la educación de los empleados sobre las amenazas potenciales.
Las soluciones de protección de correo electrónico de múltiples capas que utilizan inteligencia artificial y aprendizaje automático también son útiles para detectar y bloquear estos intentos de phishing antes de que lleguen a las bandejas de entrada de los usuarios.
Info – Ciberseguridad Latam