Los ciberdelincuentes se aprovechan de los buscadores de empleo en los Estados Unidos y Nueva Zelanda para distribuir balizas Cobalt Strike, pero también otros virus y malware. (se abre en una pestaña nueva)también.
Los investigadores de Cisco Talos afirman que un actor de amenazas desconocido está enviando múltiples señuelos de phishing por correo electrónico, asumiendo la identidad. (se abre en una pestaña nueva) de la Oficina de Administración de Personal de EE. UU. (OPM), así como de la Asociación de Servicios Públicos de Nueva Zelanda (PSA).
El correo electrónico invita a la víctima a descargar y ejecutar un documento de Word adjunto, alegando que contiene más detalles sobre la oportunidad laboral.
Ejecución remota de código
El documento contiene macros que, si se ejecutan, explotan una vulnerabilidad conocida rastreada como CVE-2017-0199, una falla de ejecución de código remoto reparada en abril de 2017. Al ejecutar la macro, Word descarga una plantilla de documento de un repositorio de Bitbucket. Luego, la plantilla ejecuta una serie de scripts de Visual Basic que, en consecuencia, descarga un archivo DLL llamado «newmodeler.dll». Esa DLL es, de hecho, una baliza de Cobalt Strike.
También hay otro método de distribución menos complicado, en el que el descargador de malware se obtiene directamente de Bitbucket.
Con la ayuda de una baliza Cobalt Strike, los actores de amenazas pueden ejecutar de forma remota varios comandos en el punto final comprometido, robar datos y moverse lateralmente a través de la red, mapeándolos y encontrando datos más confidenciales.
Los investigadores afirman que las balizas se comunican con un servidor Ubuntu, alojado por Alibaba y con sede en los Países Bajos. Contiene dos certificados SSL autofirmados y válidos.
Cisco no nombró a los actores de amenazas detrás de esta campaña, pero hay un nombre prominente que últimamente ha estado involucrado en numerosas campañas de trabajos falsos, y ese es Lazarus Group.
El infame actor de amenazas patrocinado por el estado de Corea del Norte ha estado apuntando a los desarrolladores de blockchain, artistas que trabajan en tokens no fungibles (NFT), así como a expertos aeroespaciales y periodistas políticos con trabajos falsos, robando criptomonedas e información valiosa.
Vía: BleepingComputer (se abre en una pestaña nueva)