El género de piratería de deje rusa llamó Redcurl se ha vinculado a una campaña de ransomware por primera vez, marcando una partida en la artesanía del actor de amenaza.
La actividad, observada por la empresa de ciberseguridad rumana Bitdefender, implica el despliegue de una cepa de ransomware nunca ayer panorama denominada QWCrypt.
Redcurl, incluso llamado Earth Kapre y Red Wolf, tiene una historia de orquestar ataques de espionaje corporativo dirigidos a varias entidades en Canadá, Alemania, Noruega, Rusia, Eslovenia, Ucrania, el Reino Unido y los Estados Unidos. Se sabe que está activo desde al menos noviembre de 2018.
Las cadenas de ataque documentadas por el Colección-IB en 2020 implicaban el uso de correos electrónicos de phishing de aguijada con señuelos temáticos de capital humanos (capital humanos) para activar el proceso de implementación de malware. A principios de este enero, Huntress detalló los ataques montados por el actor de amenaza dirigido a varias organizaciones en Canadá para desplegar un cargador denominado Redloader con «capacidades simples de puerta trasera».
Luego, el mes pasado, la compañía canadiense de ciberseguridad Esentire reveló el uso de Redcurl de los archivos adjuntos PDF spam disfbonados de CVS y cartas de presentación en mensajes de phishing para que me acostaran el malware del cargador utilizando el ejecutable seguro de Adobe «adNotificationManager.exe».
La secuencia de ataque detallada por BitDefender traza los mismos pasos, utilizando archivos de imagen de disco montable (ISO) disfrazados de CVS para iniciar un procedimiento de infección en varias etapas. Presente internamente de la imagen del disco hay un archivo que imita un protector de pantalla de Windows (SCR) pero, en efectividad, es el binario adnotificationManager.exe que se usa para ejecutar el cargador («netUtils.dll») usando la carga anexo de DLL.
«Luego de la ejecución, NetUtils.dll inicia inmediatamente una indicación de ShellexCutea con el verbo hendido, dirigiendo el navegador de la víctima a https://secure.deed.com/auth», dijo Martin Zugec, director de soluciones técnicas de Bitdefender, en un documentación compartido con Hacker News.
«Esto muestra una página de inicio de sesión legítima, una distracción calculada diseñada para engañar a la víctima para que piense que simplemente están abriendo un CV. Esta táctica de ingeniería social proporciona una ventana para que el malware funcione sin ser detectado».
 |
| Fuente de la imagen: Esentire |
El cargador, por bitdefender, incluso actúa como descargador para una DLL de puerta trasera de próxima etapa, al tiempo que establece la persistencia en el host por medio de una tarea programada. El DLL recién recuperado se ejecuta luego utilizando el Asistente de Compatibilidad del Software (pcalua.exe), una técnica detallada por Trend Micro en marzo de 2024.
El paso que ofrece el implante allana el camino para el movimiento anexo, lo que permite al actor de amenaza navegar por la red, compendiar inteligencia y aumentar aún más su paso. Pero en lo que parece ser un gran eje de su modus operandi establecido, uno de esos ataques incluso condujo al despliegue de ransomware por primera vez.
«Esta orientación enfocada puede interpretarse como un intento de infligir el mayor daño con un esfuerzo reducido», dijo Zugec. «Al encriptar las máquinas virtuales alojadas en los hipervisores, haciéndolos innumerables, RedCurl desactiva efectivamente toda la infraestructura virtualizada, impactando todos los servicios alojados».
El ejecutable de ransomware, adicionalmente de gastar la técnica traer su propia inerme compensador (BYOVD) para deshabilitar el software de seguridad de punto final, toma medidas para compendiar información del sistema ayer de difundir la rutina de oculto. Adicionalmente, la nota de rescate disminuyó luego del oculto parece estar inspirado en los grupos Lockbit, Hardbit y Mimic.
«Esta actos de reutilizar el texto de nota de rescate existente plantea preguntas sobre los orígenes y las motivaciones del género RedCurl», dijo Zugec. «En particular, no hay un sitio de fuga dedicado (DLS) conocido asociado con este ransomware, y no está claro si la nota de rescate representa un intento de perturbación propio o un desvío».
