Home Ciberguerra Campaña de phishing dirigida a disidentes del gobierno ruso

Campaña de phishing dirigida a disidentes del gobierno ruso

Una nueva campaña de spear phishing está teniendo lugar en Rusia dirigida a disidentes con opiniones opuestas a las promovidas por el Estado y los medios nacionales sobre la guerra contra Ucrania.

La campaña se dirige a los empleados del gobierno y a los funcionarios públicos con correos electrónicos en los que se advierte de las herramientas de software y las plataformas en línea que están prohibidas en el país.

Los mensajes vienen con un archivo adjunto malicioso o un enlace incrustado en el cuerpo que deja caer una baliza Cobalt Strike en el sistema del destinatario, lo que permite a los operadores remotos llevar a cabo el espionaje en el objetivo.

El descubrimiento de la campaña y la información posterior provienen de los analistas de amenazas de Malwarebytes Labs, que han logrado muestrear varios de los correos electrónicos de cebo.

Los correos electrónicos de phishing simulan ser de una entidad estatal rusa, un ministerio o un servicio federal, para atraer a los destinatarios a abrir el archivo adjunto.

Los actores de la amenaza utilizan tres tipos de archivos diferentes para infectar a sus objetivos con Cobalt Strike, a saber, archivos RTF (formato de texto enriquecido), archivos adjuntos de documentos repletos de documentos maliciosos y enlaces de descarga incrustados en el cuerpo del correo electrónico.

Además de Cobalt Strike, Malwarebytes también ha detectado intentos paralelos de desplegar un troyano de acceso remoto (RAT) basado en PowerShell y muy ofuscado, con capacidad de obtención de carga útil en la siguiente fase.