Home Sociedad Nueva campaña de phishing apunta al petróleo y al gas con malware...

Nueva campaña de phishing apunta al petróleo y al gas con malware evolucionado para robar datos

Foto: traffic_analyzer

Una versión actualizada de un malware que roba información llamado Rhadamanthys está utilizándose en campañas de phishing, dirigidas al sector del petróleo y el gas.

El mensaje de correo electrónico viene con un enlace malicioso que aprovecha un error de redireccionamiento abierto para llevar a los destinatarios a un enlace que alberga un supuesto documento PDF, pero, en realidad, es una imagen que, al hacer clic, descarga un archivo ZIP con la carga útil del ladrón.

Escrito en C++, Rhadamanthys está diseñado para establecer conexiones con un servidor de comando y control (C2) para recopilar datos confidenciales de los hosts comprometidos.

El desarrollo se produce en medio de un flujo constante de nuevas familias de malware ladrón como Sync-Scheduler y Mighty Stealer, incluso cuando cepas existentes como StrelaStealer están evolucionando con técnicas mejoradas de ofuscación y antianálisis.

También sigue al surgimiento de una campaña de malspam dirigida a Indonesia que emplea señuelos relacionados con la banca para propagar el malware Agent Tesla y saquear información confidencial como credenciales de inicio de sesión, datos financieros y documentos personales.

Las campañas de phishing del agente Tesla observadas en noviembre de 2023 también han puesto sus miras en Australia y EE. UU., según Check Point, que atribuyó las operaciones a dos actores de amenazas de origen africano rastreados como Bignosa (también conocido como Nosakhare Godson y Andrei Ivan) y Gods (también conocido como GODINHO o Kmarshal o Kingsley Fredrick), este último trabaja como diseñador web.

“El actor principal [Bignosa] parece ser parte de un grupo que opera campañas de malware y phishing, dirigidas a organizaciones, como lo atestiguan las bases de datos comerciales de correo electrónico de EE. UU. y Australia, así como a individuos”, dijo la compañía israelí de ciberseguridad.

Se ha descubierto que el malware Agent Tesla distribuido a través de estas cadenas de ataque está protegido por Cassandra Protector, que ayuda a proteger los programas de software contra esfuerzos de modificación o ingeniería inversa. Los mensajes se envían a través de una herramienta de correo web de código abierto llamada RoundCube.

“Como se ve en la descripción de las acciones de estos actores de amenazas, no se requiere ningún título científico para llevar a cabo las operaciones de delitos cibernéticos detrás de una de las familias de malware más frecuentes en los últimos años”, dijo Check Point.

“Es un desarrollo desafortunado de los acontecimientos causado por el umbral de nivel de entrada bajo, por lo que cualquiera que esté dispuesto a provocar a las víctimas para que lancen el malware a través de campañas de spam puede hacerlo”.