Los ataques comenzaron en julio de 2021 en los que los actores de amenazas explotaron la vulnerabilidad de Microsoft MSHTML para atacar a los iraníes en el extranjero.
Los investigadores de SafeBreach Labs descubrieron un nuevo actor de amenazas iraní que intentaba robar las credenciales de inicio de sesión de Instagram y Google (Gmail) de hablantes de farsi en todo el mundo. El actor de amenazas está utilizando un nuevo ladrón basado en PowerShell denominado PowerShortShell por SafeBreach Labs.
Los ataques fueron reportados inicialmente en septiembre por Shadow Chase Group en una publicación de Twitter. Según el grupo, se estaba explotando una falla crítica en la plataforma Microsoft MSHTML para lanzar diferentes tipos de ciberataques.
¿Qué es PowerShortShell?
PowerShortShell es un ladrón de información, pero también puede recopilar información del sistema de los dispositivos infectados (que se transmite al atacante junto con las credenciales robadas de antemano) y realizar la vigilancia de Telegram.
Según se informa, el ladrón se llama así porque es un script de PowerShell que es corto pero tiene poderosas "capacidades de recopilación", señalaron los investigadores. Proporciona al atacante mucha información confidencial en solo 150 líneas, incluida la captura de pantalla, la recopilación de documentos, archivos de Telegram y detalles extensos sobre los alrededores de las víctimas.
Acerca de la campaña de phishing
Según el investigador de SafeBreach Labs, Tomer Bar, los ataques comenzaron en julio y los usuarios fueron atacados a través de un correo electrónico de spear-phishing. Aproximadamente la mitad de los objetivos están en Estados Unidos, pero también se observa que el foco principal del atacante son los iraníes en el extranjero, ya que "se los considera una amenaza para el régimen islámico de Irán", explicó Bar .
La campaña implicó explotar la falla de ejecución remota de código CVE-2021-40444. Esta falla podría aprovecharse utilizando documentos de MS Office especialmente diseñados.
Microsoft corrigió la falla en septiembre de 2021.
“Un atacante podría crear un control ActiveX malicioso para ser utilizado por un documento de Microsoft Office que aloja el motor de renderizado del navegador. El atacante tendría que convencer al usuario de que abra el documento malicioso.
Los usuarios cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos afectados que los usuarios que operan con derechos de usuario administrativos ”, señaló Microsoft en su aviso posterior al parche.
Sin embargo, las infecciones que usaban el ladrón de información PowershortShell se descubrieron solo un día después de que Microsoft corrigiera el error el 15 de septiembre.
¿Cómo roba credenciales?
SafeBreach Labs explicó que los objetivos reciben un correo electrónico de phishing que contiene un archivo de Word como archivo adjunto. Cuando el destinatario abre este archivo, se activa el exploit para el error Microsoft MSHTML y, como resultado, se ejecuta el script PowerShortShell.
Este script luego roba el dispositivo sensible y los datos del usuario y los envía a un servidor C2 controlado por un atacante. El servidor C2 recopiló las credenciales de Gmail e Instagram de la víctima.
Además, se identificaron dos campañas de phishing, ambas realizadas por el mismo adversario.
Páginas de phishing de Instagram y Gmail identificadas por los investigadores.
"El adversario podría estar vinculado al régimen islámico de Irán, ya que el uso de vigilancia de Telegram es típico de los actores de amenazas de Irán como Infy, Ferocious Kitten y Rampant Kitten", señaló Bar.
Cobertura previa
Esta campaña es la última de una serie de ataques que aprovechan el error Microsoft MSHTML. En nuestra cobertura anterior , el equipo de inteligencia de Malwarebytes descubrió que la vulnerabilidad Microsoft MSHTML fue utilizada por actores de amenazas dirigidos a instituciones gubernamentales rusas. Esta campaña también implicó el envío de archivos adjuntos de correo electrónico de phishing.
Fuente: https://www.hackread.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios