Uma campanha de malvertising está aproveitando instaladores trojanizados de softwares populares, como Google Chrome e Microsoft Groups, para lançar um backdoor chamado Oyster (também conhecido como Broomstick e CleanUpLoader).
Isso está de acordo com as descobertas do Rapid7, que identificou websites semelhantes que hospedam cargas maliciosas para os quais os usuários são redirecionados após procurá-los em mecanismos de pesquisa como Google e Bing.
Os agentes da ameaça estão atraindo usuários desavisados para websites falsos que pretendem conter software program legítimo. Mas tentar baixar o binário de configuração inicia uma cadeia de infecção por malware.
Especificamente, o executável serve como um caminho para um backdoor chamado Oyster, que é capaz de coletar informações sobre o host comprometido, comunicar-se com um endereço de comando e controle (C2) codificado e suportar a execução remota de código.
Embora o Oyster tenha sido observado no passado sendo entregue por meio de um componente de carregamento dedicado conhecido como Broomstick Loader (também conhecido como Oyster Installer), as cadeias de ataque mais recentes envolvem a implantação direta do backdoor. Diz-se que o malware está associado ao ITG23, um grupo ligado à Rússia por trás do malware TrickBot.
A execução do malware é seguida pela instalação do software program Microsoft Groups legítimo, na tentativa de manter o estratagema e evitar o surgimento de sinais de alerta. Rapid7 disse que também observou o malware sendo usado para gerar um script PowerShell responsável por configurar a persistência no sistema.
A divulgação ocorre no momento em que um grupo de crimes cibernéticos conhecido como Rogue Raticate (também conhecido como RATicate) foi atribuído como responsável por uma campanha de phishing por e-mail que emprega iscas de PDF para induzir os usuários a clicar em um URL malicioso e entregar o NetSupport RAT.
“Se um usuário for induzido a clicar na URL, ele será conduzido através de um Sistema de Distribuição de Tráfego (TDS) para o resto da cadeia e, no last, terá a Ferramenta de Acesso Remoto NetSupport implantada em sua máquina”, disse a Symantec. .
Também coincide com o surgimento de uma nova plataforma de phishing como serviço (PhaaS) chamada ONNX Retailer, que permite aos clientes orquestrar campanhas de phishing usando códigos QR incorporados em anexos PDF que levam as vítimas a páginas de coleta de credenciais.
Acredita-se que a ONNX Retailer, que também oferece hospedagem à prova de balas e serviços RDP por meio de um bot Telegram, seja uma versão renomeada do equipment de phishing Caffeine, que foi documentado pela primeira vez pela Mandiant, de propriedade do Google, em outubro de 2022, com o serviço mantido por um árabe- ator de ameaça falante chamado MRxC0DER.
Além de usar os mecanismos anti-bot da Cloudflare para evitar a detecção por scanners de websites de phishing, os URLs distribuídos por meio das campanhas de quishing vêm incorporados com JavaScript criptografado que é decodificado durante o carregamento da página para coletar metadados de rede das vítimas e retransmitir tokens 2FA.
“A ONNX Retailer possui um mecanismo de desvio de autenticação de dois fatores (2FA) que intercepta solicitações (autenticação de dois fatores) das vítimas”, disse Arda Büyükkaya, pesquisadora da EclecticIQ. “As páginas de phishing parecem interfaces reais de login do Microsoft 365, enganando os alvos para que insiram seus detalhes de autenticação.”
