Clicky

El malware Oyster se propaga a través de populares descargas de software troyanizadas

backdoor Oyster

Los instaladores troyanizados incluyen a Google Chrome y Microsoft Teams

Una campaña de publicidad maliciosa está aprovechando instaladores troyanizados de popular software como Google Chrome y Microsoft Teams para colocar una puerta trasera (backdoor) llamada Oyster (también conocida como Broomstick y CleanUpLoader).

Esto es según los hallazgos de Rapid7, que identificó sitios web similares que alojan cargas útiles maliciosas a las que se redirige a los usuarios después de buscarlas en motores de búsqueda como Google y Bing.

Los actores de amenazas están atrayendo a usuarios desprevenidos a sitios web falsos que pretenden contener software legítimo. Pero al intentar descargar el binario de instalación se inicia una cadena de infección de malware.

Específicamente, el ejecutable sirve como vía para una puerta trasera llamada Oyster, que es capaz de recopilar información sobre el host comprometido, comunicarse con una dirección de comando y control (C2) codificada y admitir la ejecución remota de código.

Si bien se ha observado en el pasado que Oyster se entrega mediante un componente de carga dedicado conocido como Broomstick Loader (también conocido como Oyster Installer), las últimas cadenas de ataques implican el despliegue directo de la puerta trasera. Se dice que el malware está asociado con ITG23, un grupo vinculado a Rusia detrás del malware TrickBot.

A la ejecución del malware le sigue la instalación del software legítimo Microsoft Teams en un intento de mantener la artimaña y evitar generar señales de alerta. Rapid7 dijo que también observó que el malware se utilizaba para generar un script de PowerShell responsable de configurar la persistencia en el sistema.

Microsoft Teams falso

La divulgación se produce cuando se ha atribuido a un grupo de delitos cibernéticos conocido como Rogue Raticate (también conocido como RATicate) estar detrás de una campaña de phishing por correo electrónico que emplea señuelos PDF para atraer a los usuarios a hacer clic en una URL maliciosa y entregar NetSupport RAT.

"Si se engaña exitosamente a un usuario para que haga clic en la URL, será conducido a través de un Sistema de Distribución de Tráfico (TDS) al resto de la cadena y, al final, tendrá implementada en su máquina la herramienta de acceso remoto de NetSupport", afirmó Symantec.

También coincide con el surgimiento de una nueva plataforma de phishing como servicio (PhaaS) llamada ONNX Store que permite a los clientes organizar campañas de phishing utilizando códigos QR integrados en archivos PDF adjuntos que llevan a las víctimas a páginas de recolección de credenciales.

Se cree que ONNX Store, que también ofrece alojamiento Bulletproof y servicios RDP a través de un bot de Telegram, es una versión renombrada del kit de phishing Caffeine, que fue documentado por primera vez por Mandiant, propiedad de Google, en octubre de 2022, con el servicio mantenido por un actor de amenazas de habla árabe llamado MRxC0DER.

Además de utilizar los mecanismos anti-bot de Cloudflare para evadir la detección por parte de los escáneres de sitios web de phishing, las URL distribuidas a través de las campañas de quishing vienen integradas con JavaScript cifrado que se decodifica durante la carga de la página para recopilar los metadatos de la red de las víctimas y transmitir tokens 2FA.

"ONNX Store tiene un mecanismo de derivación de autenticación de dos factores (2FA) que intercepta las solicitudes [de autenticación de dos factores] de las víctimas", dijo la investigadora de EclecticIQ, Arda Büyükkaya. "Las páginas de phishing parecen interfaces de inicio de sesión reales de Microsoft 365, engañando a los objetivos para que ingresen sus detalles de autenticación".

Jesus_Caceres