Según un informe publicado hoy por NETSCOUT Arbor, un grupo
de APT (del inglés Advanced Persistent Threat), amenazas avanzadas y
persistentes, activo desde al menos el año 2016 y sospechoso de explotar
múltiples ataques en todo el mundo, apunta a instituciones en Europa y Rusia.
El 13 de agosto, el equipo ASERT de NETSCOUT, este grupo
realiza investigación y análisis de seguridad de red en todo el mundo,
identificó una nueva actividad de campaña de spear-phishing del grupo de
piratería Cobalt con intereses económicos fraudulentos. Dado que los mensajes parecen
provenir de una fuente fiable, muchos usuarios son víctimas de este tipo de
campañas en las que los actores malintencionados se disfrazan como instituciones financieras reales.
Los mensajes de suplantación de identidad utilizados para
obtener acceso se ven como si provinieran de un proveedor financiero o de
dominios asociados, lo que aumenta la probabilidad de infección. Además, el
grupo usa herramientas que les permiten eludir las defensas
de Windows.
NS Bank en Rusia y Banca Comercial de los Cárpatos en
Rumania fueron los dos objetivos de phishing encontrados en los que en uno de
los correos electrónicos de phishing fueron halladas dos URL maliciosas.
El primero contenía un documento malicioso de Word que
ofuscaba los scripts de VBA (Visual Basic for Applications), que según los
investigadores difería de los conocidos CVE, esto es una lista de entradas, cada una con un
número de identificación, una descripción y al menos una referencia pública,
para las vulnerabilidades de ciberseguridad públicamente conocidas.
La segunda arma era un archivo binario con una extensión JPEG.
Los investigadores analizaron los binarios y descubrieron que contenían
«dos únicos servidores C2 que creemos que pertenecen y son operados por
Cobalt hacking Group».
Estas dos muestras de malware sugieren que las campañas
están conectadas con Cobalt Group. El análisis mostró que una puerta trasera
JavaScript, que se cree que es un stager,responsable de descargar cargas adicionales, que
contenía una funcionalidad similar a otra versión de una puerta trasera
similar.
«Estos elementos creados por el Grupo Cobalt imitan a las entidades
financieras, sus proveedores o socios para tener un punto de apoyo en la red
del objetivo. Hacer uso de puntos de infección por separado en un correo
electrónico con dos C2 por separado hace que este correo electrónico sea
peculiar «, escribieron los investigadores.
«Se podría especular que esto aumentaría las
probabilidades de infección. El malware trata de ocultar la infección usando
regsvr32.exe y cmstp.exe, que son conocidos por pasar por alto AppLocker
(depende de la configuración) «, continuaron.
«ASERT cree que Cobalt Group continuará apuntando a las
organizaciones financieras en Europa del Este y Rusia por lo observado en esta
campaña y su modus operandi habitual».