NUEVA CAMPAÑA DISTRIBUYE DOCUMENTOS WORD MALICIOSOS PARA ENTREGAR REDLINE CLIPPER, AGENTTESLA Y ORIGINBOTNET
20/12/2023
Descripción
Para aumentar el tamaño del archivo intentando evadir la detección por los sistemas de seguridad, entre las cargas útiles que entrega este cargador se encuentra OriginBotnet para la recopilación de contraseñas y registros de teclado, RedLine Clipper para la captura de criptomonedas y AgentTesla para recopilar información confidencial adicional.
La campaña de phishing se lleva a cabo mediante el envío de correos electrónicos fraudulentos que contienen un documento de Word adjunto. Al abrir este documento, se presenta una imagen borrosa y un Captcha falso, lo que induce a la víctima a hacer clic en él para iniciar la descarga del cargador desde la dirección hxxps://bankslip[.]info/document/scancop20233108[.]exe.
La activación del cargador desencadena un proceso de varias etapas para extraer una biblioteca de vínculos dinámicos (DLL) que libera las cargas útiles finales y establece persistencia al duplicar el archivo EXE en la ruta "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup". Esto se hace bajo el nombre "audacity.exe" para asegurar la ejecución automática incluso al reiniciar el sistema infectado.
Vector de infección
La campaña se inicia mediante el envío de correos electrónicos fraudulentos que contienen documentos de Word como señuelo. Una vez que la víctima abre el documento, se encuentra con una imagen borrosa y un falso Captcha diseñado para inducir al clic. Al hacer clic en el Captcha, se descarga un cargador de software malicioso desde un servidor remoto. Este cargador tiene el objetivo de entregar las cargas maliciosas de Redline Clipper, AgentTesla y OriginBotnet.
Recomendaciones
- La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:
- Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios.
- Realizar monitoreo en rutas del sistema como "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup" o “%AppData%\Local\Temp” en búsqueda de artefactos sospechosos o maliciosos.
Leer noticia: https://www.fortinet.com/blog/threat-research/originbotnet-spreads-via-malicious-word-document.