🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Peligrosa banda de ciberdelincuentes rusos está explotando una vulnerabilidad crítica de Microsoft

El grupo de amenazas persistentes avanzadas (APT) Fancy Bear está detrás de una campaña de phishing que utiliza el espectro de la guerra nuclear para explotar una vulnerabilidad conocida de Microsoft de un solo clic (one-click). El objetivo es entregar malware que pueda robar credenciales de los navegadores Chrome, Firefox y Edge.

Los ataques del APT vinculado a Rusia están vinculados a la guerra entre Rusia y Ucrania, según los investigadores de Malwarebytes Threat Intelligence. Los investigadores reportan que Fancy Bear está impulsando documentos maliciosos cargados con el exploit para Follina (CVE-2022-3019). Follina es una conocida vulnerabilidad de un clic de Microsoft, según publicaciones realizadas en semanas anteriores.

“Esta es la primera vez que observamos que APT28 usa Follina en sus operaciones”, escribieron los investigadores en la publicación. Fancy Bear también es conocido como APT28, Strontium y Sofacy.

El 20 de junio, los investigadores de Malwarebytes observaron por primera vez el documento malicioso, que descarga y ejecuta un ladrón de .Net informado por primera vez por Google. El Grupo de Análisis de Amenazas (TAG) de Google dijo que Fancy Bear ya ha utilizado este ladrón para apuntar a usuarios en Ucrania.

El Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) también descubrió de forma independiente el documento malicioso. Este documento fue utilizado por Fancy Bear en la reciente campaña de phishing, según Malwarebytes.

“Oso suelto”

CERT-UA identificó previamente a Fancy Bear como una de las numerosas APT que golpean a Ucrania con ataques cibernéticos en paralelo con la invasión de las tropas rusas que comenzó a finales de febrero. Se cree que el grupo está operando a instancias de la inteligencia rusa para recopilar información que sería útil para la agencia.

En el pasado, Fancy Bear ha estado relacionado con ataques dirigidos a las elecciones en los Estados Unidos y Europa. Asimismo, se ha relacionado con ataques contra agencias deportivas y antidopaje relacionadas con los Juegos Olímpicos de 2020.

Los investigadores señalaron por primera vez a Follina en abril, pero solo en mayo se identificó oficialmente como un exploit de día cero de un solo clic. Follina está asociada con la herramienta de diagnóstico de soporte de Microsoft (MSDT) y usa el protocolo ms-msdt para cargar código malicioso de Word u otros documentos de Office cuando se abren.

La vulnerabilidad es peligrosa por una serie de razones, una de las cuales es su amplia superficie de ataque. Esto porque básicamente afecta a cualquiera que use Microsoft Office en todas las versiones compatibles actualmente de Windows. Si se explota con éxito, los atacantes pueden obtener privilegios de usuario para hacerse cargo de un sistema e instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas.

Microsoft parcheó recientemente a Follina en su lanzamiento del martes de parches de junio. Sin embargo, permanece bajo explotación activa por parte de los actores de amenazas, incluidos los APTs conocidos.

Amenaza de ataque nuclear

La campaña Follina de Fancy Bear está atacando a los usuarios con correos electrónicos que contienen un archivo RTF malicioso llamado “Terrorismo nuclear: una amenaza muy real”. Este es un intento de aprovecharse de los temores de las víctimas de que la invasión de Ucrania se convierta en un conflicto nuclear. El contenido del documento es un artículo del grupo de asuntos internacionales Atlantic Council que explora la posibilidad de que Putin use armas nucleares en la guerra en Ucrania.

El archivo malicioso usa una plantilla remota incrustada en el archivo Document.xml.rels para recuperar un archivo HTML remoto desde la URL http://kitten-268[.]frge[.]io/article[.]html. Luego, el archivo HTML usa una llamada JavaScript a window.location.href . La llamada es para cargar y ejecutar un script codificado de PowerShell usando el esquema de URI ms-msdt MSProtocol. 

El PowerShell carga el payload final, una variante del ladrón de .Net previamente identificado por Google en otras campañas de Fancy Bear en Ucrania. Mientras que la variante más antigua del ladrón usó un mensaje de error falso para distraer a los usuarios de lo que estaba haciendo, la variante utilizada en la campaña de temática nuclear no lo hace. 

En otra funcionalidad, la variante vista recientemente es “casi idéntica” a la anterior, “con solo algunos retoques menores y algunos comandos de suspensión adicionales”. 

Robo de información

Al igual que con la variante anterior, el objetivo principal del ladrón es robar datos. Esto incluye las credenciales del sitio web, como el nombre de usuario, la contraseña y la URL, de varios navegadores populares, incluidos Google Chrome, Microsoft Edge y Firefox. Luego, el malware usa el protocolo de correo electrónico IMAP para filtrar datos a su servidor de comando y control de la misma manera que lo hizo la variante anterior. No obstante, esta vez a un dominio diferente, dijeron los investigadores.

“La variante anterior de este ladrón se conectaba a mail[.]sartoc.com (144.208.77.68) para extraer datos. La nueva variante usa el mismo método pero un dominio diferente, www.specialityllc[.]com. Curiosamente, ambos están ubicados en Dubái”.

Lo más probable es que los propietarios de los sitios web no tengan nada que ver con APT28, ya que el grupo simplemente se aprovecha de los sitios abandonados o vulnerables. 

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información