Una amenaza desconocida está atacando a gobiernos de APAC y Norteamérica con malware y ransomware para robar información, segúm Menlo Security.
Los ataques del grupo comienzan con un correo electrónico de phishing que contiene un enlace malicioso de Discord, que apunta a un archivo zip protegido por contraseña. Éste, a su vez, contiene un descargador de malware .NET conocido como PureCrypter.
El cargador intentará descargar una carga útil secundaria desde la infraestructura de mando y control (C2) del grupo, que es un dominio comprometido perteneciente a una organización sin ánimo de lucro, explica Menlo Security.
Entre las cargas útiles maliciosas observadas por el proveedor de seguridad en esta campaña se encuentran diversas variantes de robo de información y ransomware: Redline Stealer, AgentTesla, Eternity, Blackmoon y Philadelphia ransomware.
En la muestra analizada por los expertos en seguridad, PureCrypter intenta descargar AgentTesla, un backdoor avanzado diseñado para robar contraseñas basadas en el navegador, así como realizar capturas de pantalla y registrar las pulsaciones del teclado.
AgentTesla existe desde hace varios años, pero sigue demostrando su popularidad entre los actores de amenazas.
El troyano de acceso remoto (RAT) y ladrón de información fue el malware más utilizado en octubre de 2022, representando el 7% de las detecciones globales de Check Point Software.
El malware ocupó el tercer lugar en el informe mensual del Índice Global de Amenazas de enero de 2023.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian