Se ha descubierto que los ciberdelincuentes abusan del popular reproductor multimedia VLC para enviar balizas Cobalt Strike a objetivos en Australia.
La campaña incluye el envenenamiento de SEO y el malware del cargador Gootkit (se abre en una pestaña nueva) y se dirige a las víctimas que buscan instituciones de atención médica en Australia.
Trend Micro descubrió el malware y describió cómo los actores de amenazas crearon un sitio web malicioso, diseñado para parecerse a un foro, donde un usuario compartió una plantilla de documento de acuerdo relacionado con la atención médica dentro de un archivo ZIP, en respuesta a una consulta.
Páginas de resultados del motor de búsqueda «Envenenamiento»
Luego, para que el sitio web obtuviera una clasificación alta en Google, «envenenaron» las páginas de resultados del motor de búsqueda agregando el enlace al sitio malicioso en tantos artículos y publicaciones de redes sociales en línea como fuera posible.
Cada vez que un sitio web está fuertemente vinculado, el algoritmo de Google lo percibe como autorizado y lo empuja más alto en sus páginas de resultados. En esta campaña, los investigadores encontraron que el sitio web malicioso ocupaba un lugar destacado en las palabras clave relacionadas con la medicina, como «hospital», «salud», «médico» y «acuerdo», junto con los nombres de ciudades de Australia.
Las víctimas que caigan en la trampa y descarguen el archivo ZIP malicioso en sus endpoints en realidad obtendrán los componentes del cargador de Gootkit que luego soltarán un script de PowerShell que descarga más malware en el dispositivo de destino. Entre los archivos que captura el cargador se encuentra una copia legítima y firmada del reproductor multimedia VLC y un archivo DLL malicioso que, cuando se activa, despliega la baliza Cobalt Strike.
El archivo del reproductor multimedia VLC se muestra como el servicio Coordinador de transacciones distribuidas de Microsoft (MSDTC). Si el usuario lo ejecuta, VLC buscará el archivo DLL y lo ejecutará, infectando el dispositivo en lo que generalmente se conoce como un ataque de carga lateral.
Cobalt Strike es una herramienta comercial de pentesting que permite al usuario implementar un agente llamado ‘Beacon’ en la máquina de la víctima. Los ciberdelincuentes lo usan para escanear la red de destino, moverse lateralmente, robar contraseñas y otros datos confidenciales e implementar malware más devastador. Las balizas Cobalt Strike a menudo son seguidas por un ataque de ransomware.
Vía: BleepingComputer (se abre en una pestaña nueva)