Los investigadores de seguridad cibernética advierten sobre una nueva campaña de phishing que está dirigida a usuarios en Taiwán con familias de malware como Holdinghands Rat y GH0stCringe.
La actividad es parte de una campaña más amplia que entregó el ámbito de malware de Winos 4.0 a principios de enero al despachar mensajes de phishing que se hace sobrevenir por la Oficina Doméstico de Impuestos de Taiwán, dijo Fortinet Fortiguard Labs en un mensaje compartido con The Hacker News.
La compañía de seguridad cibernética dijo que identificaba muestras de malware adicionales a través del monitoreo continuo y que observaba el mismo actor de amenaza, denominado Silver Fox APT, utilizando documentos PDF con malware o archivos zip distribuidos a través de correos electrónicos de phishing para entregar GH0STCRINE y una cepa de malware basada en ratas HoldingHands.
Vale la pena señalar que tanto Holdhands Rat (asimismo conocido como GH0STBINS) como GH0stCringe son variantes de un troyano de ataque remoto conocido llamado GH0ST RAT, que los grupos de piratería chinos utilizan ampliamente.
El punto de partida del ataque es un correo electrónico de phishing que se disfraza de mensajes del gobierno o socios comerciales, empleando señuelos relacionados con impuestos, facturas y pensiones para persuadir a los destinatarios para que abran el archivo adjunto. Se ha antitético que las cadenas de ataque alternativas aprovechan una imagen incrustada que, cuando se hace clic, descarga el malware.
Los archivos PDF, a su vez, contienen un enlace que redirige los objetivos prospectivos a una página de descarga que aloja un archivo zip. Presentes interiormente del archivo hay varios ejecutables legítimos, cargadores de shellcode y shellcode criptográfico.
La secuencia de infección de múltiples etapas implica el uso del cargador de shellcode para descifrar y ejecutar el shellcode, que no es más que archivos DLL latidos por los binarios legítimos utilizando técnicas de carga vecino de DLL. Las cargas enseres intermedias desplegadas como parte del ataque incorporan una ascensión anti-VM y privilegios para respaldar que el malware se ejecute sin obstáculos en el host comprometido.
El ataque culmina con la ejecución de «msgdb.dat», que implementa funciones de comando y control (C2) para compilar información del heredero y descargar módulos adicionales para proveer la establecimiento de archivos y las capacidades de escritorio remotos.
Fortinet dijo que asimismo descubrió que el actor de amenazas que propagó GH0STCRINE a través de los archivos adjuntos PDF en correos electrónicos de phishing que llevan a los usuarios a documentar las páginas HTM.
«La dependencia de ataque comprende numerosos fragmentos de shellcode y cargadores, haciendo que el flujo de ataque sea enredado», dijo la compañía. «A través de Winos, Holdhands y GH0stCringe, este congregación de amenazas evoluciona continuamente sus estrategias de malware y distribución».
