Se ha observado una nueva campaña de phishing de varias etapas dirigida a usuarios de Rusia con ransomware y un troyano de acceso remoto llamado Amnesia RAT.
«El ataque comienza con señuelos de ingeniería social entregados a través de documentos con temas comerciales diseñados para parecer rutinarios y benignos», dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dicho en un desglose técnico publicado esta semana. «Estos documentos y los scripts que los acompañan sirven como distracciones visuales, desviando a las víctimas hacia tareas falsas o mensajes de estado mientras la actividad maliciosa se ejecuta silenciosamente en segundo plano».
La campaña se destaca por un par de razones. En primer lugar, utiliza múltiples servicios de nube pública para distribuir diferentes tipos de cargas útiles. Si bien GitHub se utiliza principalmente para distribuir scripts, las cargas binarias se organizan en Dropbox. Esta separación complica los esfuerzos de derribo, mejorando efectivamente la resiliencia.
Otra «característica definitoria» de la campaña, según Fortinet, es el abuso operativo de no defender para deshabilitar Microsoft Defender. no defender era liberado el año pasado por un investigador de seguridad que utiliza el alias en línea es3n1n como una forma de engañar al programa de seguridad haciéndole creer que ya se ha instalado otro producto antivirus en el host de Windows.
La campaña aprovecha la ingeniería social para distribuir archivos comprimidos, que contienen múltiples documentos señuelo y un acceso directo malicioso de Windows (LNK) con nombres de archivos en ruso. El archivo LNK utiliza una doble extensión («Задание_для_бухгалтера_02отдела.txt.lnk») para dar la impresión de que es un archivo de texto.
Cuando se ejecuta, ejecuta un comando de PowerShell para recuperar el script de PowerShell de la siguiente etapa alojado en un repositorio de GitHub («github[.]com/Mafin111/MafinREP111»), que luego sirve como cargador de primera etapa para establecer un punto de apoyo, prepara el sistema para ocultar evidencia de actividad maliciosa y transfiere el flujo de control a etapas posteriores.
«El script primero suprime la ejecución visible al ocultar mediante programación la ventana de la consola PowerShell», dijo Fortinet. «Esto elimina cualquier indicador visual inmediato de que se está ejecutando un script. Luego genera un documento de texto señuelo en el directorio de datos de la aplicación local del usuario. Una vez escrito en el disco, el documento señuelo se abre automáticamente».
Una vez que se muestra el documento a la víctima para continuar con la artimaña, el script envía un mensaje al atacante utilizando el API de bot de Telegraminformando al operador que la primera etapa se ha ejecutado con éxito. Después de un retraso de 444 segundos introducido deliberadamente, el script de PowerShell ejecuta un script de Visual Basic («SCRRC4ryuk.vbe») alojado en la misma ubicación del repositorio.
Esto ofrece dos ventajas cruciales: mantiene el cargador liviano y permite a los actores de amenazas actualizar o reemplazar la funcionalidad de la carga útil sobre la marcha sin tener que introducir ningún cambio en la cadena de ataque.
El script de Visual Basic está muy ofuscado y actúa como el controlador que ensambla la carga útil de la siguiente etapa directamente en la memoria, evitando así dejar artefactos en el disco. El script de la etapa final verifica si se está ejecutando con privilegios elevados y, de lo contrario, muestra repetidamente un Control de cuentas de usuario (UAC) solicita obligar a la víctima a otorgarle los permisos necesarios. El guión se detiene durante 3000 milisegundos entre intentos.
En la siguiente fase, el malware inicia una serie de acciones para suprimir la visibilidad, neutralizar los mecanismos de protección de los terminales, realizar reconocimientos, inhibir la recuperación y, en última instancia, implementar las cargas útiles principales.
- Configure las exclusiones de Microsoft Defender para evitar que el programa escanee datos de programa, archivos de programa, escritorio, descargas y el directorio temporal del sistema.
- Utilice PowerShell para desactivar componentes de protección adicionales de Defender
- Implemente defendernot para registrar un producto antivirus falso con la interfaz del Centro de seguridad de Windows y hacer que Microsoft Defender se desactive para evitar posibles conflictos.
- Realice reconocimiento y vigilancia del entorno mediante captura de pantalla mediante un módulo .NET dedicado descargado del repositorio de GitHub que toma una captura de pantalla cada 30 segundos, la guarda como una imagen PNG y extrae los datos utilizando un bot de Telegram.
- Deshabilite las herramientas administrativas y de diagnóstico de Windows alterando los controles de políticas basados en el Registro
- Implementar un mecanismo de secuestro de asociación de archivos de modo que al abrir archivos con ciertas extensiones predefinidas se muestre un mensaje a la víctima, indicándole que se comunique con el actor de la amenaza a través de Telegram.
Una de las cargas útiles finales implementadas después de desarmar con éxito los controles de seguridad y los mecanismos de recuperación es Amnesia RAT («svchost.scr»), que se recupera de Dropbox y es capaz de realizar un amplio robo de datos y control remoto. Está diseñado para robar información almacenada en navegadores web, billeteras de criptomonedas, Discord, Steam y Telegram, junto con metadatos del sistema, capturas de pantalla, imágenes de cámaras web, audio de micrófono, portapapeles y títulos de ventanas activas.
«La RAT permite una interacción remota completa, incluida la enumeración y terminación de procesos, la ejecución de comandos de shell, la implementación de carga útil arbitraria y la ejecución de malware adicional», dijo Fortinet. «La exfiltración se realiza principalmente a través de HTTPS utilizando las API de Telegram Bot. Se pueden cargar conjuntos de datos más grandes en servicios de alojamiento de archivos de terceros, como GoFile, con enlaces de descarga transmitidos al atacante a través de Telegram».
En definitiva, Amnesia RAT facilita el robo de credenciales, el secuestro de sesiones, el fraude financiero y la recopilación de datos en tiempo real, convirtiéndolo en una herramienta integral para la apropiación de cuentas y los ataques de seguimiento.
La segunda carga útil entregada por el script es un ransomware que se deriva de la familia de ransomware Hakuna Matata y está configurado para cifrar documentos, archivos, imágenes, medios, código fuente y activos de aplicaciones en el punto final infectado, no sin antes finalizar cualquier proceso que pueda interferir con su funcionamiento.
Además, el ransomware controla el contenido del portapapeles y modifica silenciosamente las direcciones de las billeteras de criptomonedas con billeteras controladas por el atacante para redirigir las transacciones. La secuencia de infección finaliza cuando el script implementa WinLocker para restringir la interacción del usuario.
«Esta cadena de ataque demuestra cómo las campañas modernas de malware pueden comprometer todo el sistema sin explotar las vulnerabilidades del software», concluyó Lin. «Al abusar sistemáticamente de las características nativas de Windows, las herramientas administrativas y los mecanismos de aplicación de políticas, el atacante desactiva las defensas de los terminales antes de implementar herramientas de vigilancia persistentes y cargas útiles destructivas».
Para contrarrestar el abuso de la API del Centro de seguridad de Windows por parte de Defensenot, Microsoft recomienda que los usuarios habiliten la protección contra manipulaciones para evitar cambios no autorizados en la configuración de Defender y monitorear llamadas API sospechosas o cambios en el servicio de Defender.
El desarrollo se produce cuando los departamentos de recursos humanos, nómina y administración interna pertenecientes a entidades corporativas rusas han sido atacados por un actor de amenazas UNG0902 para entregar un implante desconocido denominado DUPERUNNER que es responsable de cargar AdaptixC2un marco de comando y control (C2). La campaña de phishing, cuyo nombre en código es Operación DupeHike, ha estado en marcha desde noviembre de 2025.
Laboratorios Seqrite dicho Los ataques implican el uso de documentos señuelo centrados en temas relacionados con bonificaciones de empleados y políticas financieras internas para convencer a los destinatarios de que abran un archivo LNK malicioso dentro de archivos ZIP que conduce a la ejecución de DUPERUNNER.
El implante se comunica con un servidor externo para buscar y mostrar un documento PDF señuelo, mientras se crean perfiles del sistema y se descarga AdaptixC2. faro se llevan a cabo en segundo plano.
En los últimos meses, es probable que las organizaciones rusas también hayan sido atacadas por otro actor de amenazas rastreado como Hombre lobo de papel (también conocido como GOFFEE), que ha empleado señuelos generados por inteligencia artificial (IA) y archivos DLL compilados como Complementos XLL de Excel para crear una puerta trasera llamada EchoGather.
«Una vez iniciada, la puerta trasera recopila información del sistema, se comunica con un servidor de comando y control (C2) codificado y admite la ejecución de comandos y operaciones de transferencia de archivos», dijo la investigadora de seguridad de Intezer, Nicole Fishbein. dicho. «Se comunica con el C2 a través de HTTP(S) utilizando la API WinHTTP».
Fuente