Mimecast Logo
Obtenga un presupuesto

    Infracción de derechos de autor

    12 de febrero de 2025

    Por Samantha Clarke, Hiwot Mendahun y el equipo de investigación de amenazas de Mimecast

    Puntos clave

    Qué aprenderá en esta notificación

    • Dirigida a los sectores minorista, de viajes y hostelería, principalmente en el Reino Unido y EE. UU.
    • Aumento constante del tráfico desde agosto de 2024 hasta el final del año
    • El objetivo principal es entregar un ladrón de información para exfiltrar datos confidenciales

    Flujo de campaña

    Copyright-Infringement-Flow.jpg

    Los investigadores de amenazas de Mimecast han estado supervisando e investigando una campaña de robo de información dirigida a varias organizaciones, centrada en los sectores minorista, de viajes y hotelero. En la campaña, los actores de la amenaza se hacen pasar por bufetes de abogados conocidos que se ponen en contacto con empresas en relación con una infracción de derechos de autor, para atraer a las víctimas a descargar archivos maliciosos de Dropbox. Los archivos maliciosos buscan distribuir malware en forma de varios ladrones de información.

    Copyright-Infringement-1.png

    Distribuidos a través de Mail Merge, servicio que permite la distribución de campañas de correo electrónico masivo personalizadas mediante la integración de datos específicos del destinatario en plantillas. Los autores de amenazas explotan las cuentas de prueba gratuitas de Mail Merge junto con Gmail para orquestar y distribuir campañas de correo electrónico a gran escala. Al abusar de plataformas legítimas, eluden cierta autenticación DNS, lo que garantiza la entrega exitosa de sus campañas maliciosas.

    Una vez que el usuario descarga los archivos, el ejecutable, cuando se ejecuta, utiliza un repositorio de GitHub perteneciente a LoneNone1807 que incluye varios archivos de malware. El repositorio incluye una campaña reciente que comienza con un archivo por lotes altamente ofuscado que, cuando se ejecuta, descarga e instala dos tipos de malware: XWorm y RedLine. XWorm es un troyano de acceso remoto (RAT) que permite a los atacantes controlar los sistemas infectados, mientras que RedLine es un ladrón de información diseñado para extraer datos confidenciales de las víctimas. El malware emplea técnicas avanzadas de ofuscación, utilizando scripts por lotes altamente codificados con capas de comandos anidados y generando dinámicamente cargas útiles para eludir los mecanismos de detección tradicionales.

    Mimecast observó un flujo constante de campañas que comenzaron inicialmente alrededor de julio, pero que se intensificaron alrededor de agosto, con su mayor pico en diciembre para esta campaña.

    Copyright-Infringement-2.png

    Se han realizado varios análisis sobre el malware encontrado en la cuenta de GitHub de LoneNone1807, incluyendo una reciente campaña de malware que comienza con un archivo por lotes altamente ofuscado. Los detalles completos de las capacidades del malware se pueden leer en la investigación de SANS.

    Tácticas, técnicas y procedimientos:

    T1566.002: Phishing: Enlace de Spearphishing
    T1102.001: Servicio web: Dead Drop Resolver
    T1071: Protocolo de capa de aplicación (comando y control)
    T1574.002: Flujo de ejecución de secuestro: Secuestro del orden de búsqueda de DLL
    T1562.001: Deterioro de las defensas: desactivación o modificación de herramientas
    T1497: Evasión de virtualización/entorno aislado
    T1056: Captura de entrada
    T1010: Detección de ventanas de aplicaciones
    T1082: Detección de información del sistema


    Protección de Mimecast

    Hemos identificado varios atributos en las campañas que se han añadido a nuestras capacidades de detección.

    Destinatarios:

    Reino Unido y EE. UU., principalmente en los sectores minorista, de viajes y hostelería

    IOC:

    Hashes de archivos:

    • 8c6eaefb476c4b2679fb4f08e92f6e98a90cb941afb5c1fcd1fe651e3c47ca68
    • 27d78d9a5f40932da3305ba4ca0494076a539a8a648a8c8e36ee4c35bc76bb00
    • bc056f72454c34de86bdda578a0e67663470119dcc230aca2e692bab4ac64f9c
    • 02dad6cacc5ff17cc7dea8565e4eb7091e146822e5d2505c373889fc476a26f2
    • 71f502cc7b65f6c436582d8c31986e30bdc5d94ba84957a10259b0b4a6bd3459
    • 5b690097611a0529584d759df8a7f472acf7448aeeab046ae01d8dbe21349dcc
    • ae3ff323a5ae34175a4101589c6394c1aed17adf39137e582f96c15f122673a0
    • 1da0b740d3466c1fd55ede1728c5a3783b003c0511a16668061dbf8080cfb002
    • 0ca5044d7ae4946054b9223c835bd347df3752aab2a3126bb81dd8c4f7df2747
    • 64e0bfcc0b531f623adea6d888bd58450002474c7cd90c5c2c385d7eae2449eb
    • 0973047957a83c19ddad2638b46eb6a2bc2659366dbcec69583d2fc4c9473f85
    • 92dab0afa2c6488bf5a069bfcd5d18094145e5551d8d996cb01d3d3765bd5b00

    Recomendaciones

    Back to Top