Una nueva campaña de phishing utiliza capturas de pantalla para enviar malware
Los investigadores de Proofpoint Threat Research han descubierto una nueva campaña de phishing que utiliza capturas de pantalla para enviar malware a víctimas desprevenidas.
El atacante envía un correo electrónico con una captura de pantalla adjunta que, al abrirse, lanza una macro que descarga y ejecuta el malware. Como los correos electrónicos se disfrazan de correos internos legítimos del departamento de TI de la empresa, los atacantes parecen dirigirse a altos ejecutivos.
Según Proofpoint, para que un ataque tenga éxito, el usuario debe hacer clic en un enlace malicioso y, si se filtra con éxito, interactuar con un archivo JavaScript para descargar y ejecutar cargas útiles adicionales. "Las organizaciones deben educar a los usuarios finales acerca de esta técnica y animar a los usuarios a reportar correos electrónicos sospechosos y otras actividades", dijeron los investigadores.
Los correos electrónicos de phishing son urgentes y piden a los destinatarios que revisen un documento o informe adjunto. En el mensaje se pide al destinatario que acceda al documento pulsando un botón o un enlace, lo que descarga el malware en su dispositivo.
El malware de esta campaña es un troyano de acceso remoto (RAT), que permite al atacante acceder y controlar el dispositivo de la víctima. Se pueden capturar pulsaciones de teclas, hacer capturas de pantalla y robar datos confidenciales como contraseñas, correos electrónicos e información financiera.
El capturador de pantalla es una sencilla utilidad que toma una captura de pantalla JPG del escritorio del usuario y la envía a un C2 remoto a través de un POST a una dirección IP codificada. Esto ayuda al actor de la amenaza durante las etapas de reconocimiento y perfilado de la víctima. Proofpoint descubrió varias variantes de Screenshotter, incluyendo variantes basadas en Python, AutoIT y JavaScript/IrfanView. Todas realizan la misma función, y el protocolo de red es el mismo.
El uso de capturas de pantalla en esta campaña es una táctica novedosa que dificulta la detección y el bloqueo de los mensajes de phishing por parte de las soluciones tradicionales de seguridad del correo electrónico. Los atacantes pueden evitar fácilmente la detección utilizando una captura de pantalla legítima de la empresa objetivo, lo que hace que el mensaje parezca más creíble para el destinatario.
El código de Screenshotter está contenido en un paquete MSI (SHA256: 02049ab62c530a25f145c0a5c48e3932fa7412a037036a96d7198cc57cef1f40). El paquete incluye lumina.exe, una copia no modificada de IrfanView versión 4.62, y app.js, el primer archivo del paquete MSI. Ejecuta lumina.exe, que captura una imagen del escritorio y la guarda como JPG, así como index.js, el segundo archivo ejecutado por el paquete MSI.
Las fuentes de este artículo incluyen un artículo en SCMedia.
Vea esta noticia en nuestro canal de Youtube: https://www.youtube.com/watch?v=gRtQZ3ljvrE