La pandilla de delitos informáticos Cobalt ha estado utilizando Google App Engine para distribuir malware a través de documentos de señuelo PDF.
El grupo de piratería Cobalt ha estado utilizando Google App Engine para distribuir malware a través de documentos de señuelo en PDF. El grupo se dirigió a más de 20 instituciones gubernamentales y financieras en todo el mundo.
La banda criminal del cobalto es un equipo de piratería ruso que ha estado activo desde al menos 2016, dirigido a bancos de todo el mundo, el grupo aprovechó los correos electrónicos de phishing para comprometer los sistemas objetivo, correos electrónicos falsificados de instituciones financieras o un proveedor / socio financiero.
En agosto, los expertos en seguridad de ASERT de Netscout descubrieron una campaña llevada a cabo por el grupo que apuntó al Banco NS en Rusia y Carpatica / Patria en Rumania.
Recientemente, el equipo de piratería aprovechó la redirección de URL en documentos de señuelo PDF para entregar cargas maliciosas a las víctimas. Los actores de amenazas utilizaron las URL de HTTPS para apuntar a Google App Engine, con esta técnica, los atacantes intentan engañar a la víctima para que crea que está accediendo a un recurso de Google.
Los atacantes utilizaron documentos PDF creados especialmente con Adobe Acrobat 18.0 que contenían las URL maliciosas en forma comprimida.
“La mayoría de los PDF que observamos se crearon utilizando Adobe Acrobat 18.0. Contenían la URL maliciosa en una forma comprimida en el flujo de PDF usando Flat Decode (Filter / FlateDecode). ”Lee el análisis publicado por Netskope.
"Del mismo modo, todos los señuelos utilizaron las URL de HTTPS para entregar la carga útil".
Este caso específico de redireccionamiento de URL se clasifica como Redirecciones no validadas y Reenvíos según el Proyecto de seguridad de aplicación web abierta (OWASP).
“Una vez que se accede a la URL, el usuario cierra sesión en appengine.google.com y se genera un código de estado de respuesta '302' para la redirección de URL. A medida que esta acción se ejecuta, el usuario esen turnoredirigido a google.com/url mediante la consulta "? continue =". Al usar esta lógica de redirección, se llega a la página de destino, ”continúa el análisis.
Los lectores de PDF emiten una advertencia de seguridad cuando el documento se conecta a un sitio web, pero una vez que se comprueba el dominio de "recordar esta acción para este sitio", esta advertencia no se mostrará. Los posibles escenarios son dos:
- El indicador refiere a appengine.google.com, pero es probable que las víctimas le permitan acceder al sitio web.
- Appengine.google.com está en la lista blanca de administradores por razones legítimas, no se mostrará el aviso.
El grupo criminal del cobalto usaba archivos PDF que descargaban un documento de Microsoft Word con un código de macro ofuscado. Una vez que las víctimas habilitan la macro, se descarga otra carga útil de la etapa.
“Al habilitar la opción, la macro se ejecuta y descarga otra carga útil de etapa desde transef [.] Biz / fr.txt. Los actores de amenazas a menudo usan la carga útil de la etapa para asegurar una transición más suave y para hacer que un ataque sea más difícil de detectar, investigar y mitigar ”, continúa el análisis.
"Fr.txt se detonó usando el instalador de perfiles de Microsoft Connection Manager (csmtp.exe) desde la ubicación,% Appdata% \ Roaming \ Microsoft \ 26117.txt como un archivo INF"
La técnica de ataque se asemeja a la Squiblydoo método en el que los scriptlets maliciosos se cargan utilizando aplicaciones nativas de Windows, permite eludir soluciones de listas blancas de aplicaciones como Windows Applocker.
"En el momento del análisis, la carga útil de la siguiente etapa" fr.txt "estaba inactiva y no servía ninguna carga útil. Aunque la carga útil disminuyó, aprovechamos nuestra Inteligencia de amenazas Netskope para atribuir estos ataques a un infame grupo de actores de amenazas llamado "Golpe de cobalto", concluye el análisis.
Fecha actualización el 2021-01-28. Fecha publicación el 2019-01-28. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: securityaffairs