Robo de Información con Formbook y Snake Keylogger Distribuidos Masivamente por Correo Electrónico Utilizando los Malware RelicRace y RelicSource
Tabla de contenidos:
Los ataques de robo de información que aprovechan el vector de ataque de correos electrónicos de phishing contra organizaciones ucranianas están en aumento, como la campaña maliciosa de hace menos de una semana que se propagó spyware AgentTesla y tuvo como objetivo a los organismos estatales ucranianos. El 25 de julio de 2022, CERT-UA lanzó una nueva alerta advirtiendo a la comunidad mundial de defensores cibernéticos sobre una campaña de correo electrónico en curso destinada a la distribución masiva de cargas maliciosas de Formbook y Snake Keylogger que se utilizan para robar datos sensibles. En este último ciberataque, los actores de la amenaza aprovechan el tema del correo electrónico relacionado con las finanzas y el archivo adjunto malicioso del mismo nombre como señuelos para engañar a las posibles víctimas para que abran el contenido del correo electrónico. Los atacantes entregan muestras de malware utilizando los descargadores maliciosos basados en .NET identificados como RelicRace y RelicSource. Según la investigación, la actividad maliciosa puede atribuirse a los patrones de comportamiento del colectivo de hackers UAC-0041. colectivo de hackers.
Entrega de Formbook & Snake Keylogger: Análisis de ciberataque
El último ciberataque cubierto en la alerta CERT-UA#5056 está vinculado a la actividad de los actores de amenaza UAC-0041 que anteriormente se atribuían a la campaña maliciosa de primavera de 2022 que propagaba el troyano IcedID, el notorio malware de robo de información. Notablemente, el mismo grupo de hackers también estuvo asociado con la entrega de muestras de malware AgentTesla y XLoader en campañas maliciosas previas dirigidas a organizaciones ucranianas.
En la campaña de phishing en curso que ha estado en el centro de atención desde el 19 de julio de 2022, los actores de amenaza distribuyen masivamente correos electrónicos con archivos adjuntos maliciosos en el formato de archivo comprimido TGZ. Este archivo TGZ contiene un archivo ejecutable identificado como un descargador basado en .NET, RelicRace, que se utiliza para descargar y lanzar el infame malware RelicSource en los sistemas comprometidos. Este último es el software de instalación de malware capaz de decodificar datos almacenados en múltiples formatos de encriptación, incluidos XOR, DES, AES, etc., e inyectar y lanzar posteriormente cargas de Formbook y Snake Keylogger. El malware aplica técnicas sofisticadas de persistencia y anti-análisis para evadir la detección, lo que dificulta que los defensores cibernéticos identifiquen la infección a tiempo.
Según FortiGuard Labs de Fortinet, el notorio Snake Keylogger distribuido masivamente en el ciberataque en curso contra Ucrania es un malware basado en .NET que fue detectado por primera vez en la arena de amenazas cibernéticas a finales de 2020. El malware está diseñado para robar datos sensibles, como credenciales de usuario, pulsaciones de teclas, capturas de pantalla y datos del portapapeles. En julio de 2021, Snake Keylogger estaba entre las 10 familias de malware más populares que afectaban a más usuarios comprometidos en todo el mundo.
Otra carga propagada en este último ciberataque cubierto por la investigación de CERT-UA, llamado Formbook, también pertenece a las muestras de malware de robo de información más prevalentes, incluso superando al infame troyano bancario Trickbot. troyano bancario Trickbot. Formbook ha estado presente en el panorama de amenazas cibernéticas desde 2016 como malware diseñado para robar credenciales de múltiples navegadores web, monitorear y registrar pulsaciones de teclas, descargar y ejecutar archivos a través del servidor C&C.
Detección de la Actividad UAC-0041: Reglas Sigma para detectar la última ola de infecciones de Formbook y Snake Keylogger
Para ayudar a los practicantes de seguridad a detectar proactivamente las intrusiones asociadas con los últimos ataques UAC-0041 contra Ucrania, la plataforma Detection as Code de SOC Prime proporciona un conjunto de reglas Sigmacuradas. Para una búsqueda de contenido optimizada, todo el contenido de detección está etiquetado con “CERT-UA#5056” basado en la descripción general de la campaña detallada en la alerta CERT-UA#5056.
Reglas Sigma para detectar los detalles de la campaña de Formbook y Snake Keylogger en CERT-UA#5056
Para revisar la lista completa de reglas de detección y consultas de caza que cubren la actividad maliciosa UAC-0041, presione el botón Detect & Hunt a continuación. También puede navegar por el motor de búsqueda de amenazas cibernéticas de SOC Prime para profundizar en las reglas Sigma destinadas a la detección UAC-0041, junto con acceder a metadatos contextuales extensos, como referencias MITRE ATT&CK® y CTI, descripciones de CVE y más.
botón Detect & Hunt Explorar Contexto de Amenazas
Contexto MITRE ATT&CK®
Para obtener información sobre el contexto de los ciberataques UAC-0041 dirigidos a la distribución de Formbook y Snake Keylogger, las reglas Sigma mencionadas anteriormente están alineadas con el marco de trabajo MITRE ATT&CK® abordando las tácticas y técnicas correspondientes:
Tactics | Techniques | Sigma Rule |
Initial Access | Phishing (T1566) |
