Documentos de Word de Microsoft señuelo utilizados para entregar malware basado en Nim

-

Una nueva campaña de phishing está utilizando documentos de Word de Microsoft señuelo como cebo para entregar un backdoor escrito en el lenguaje de programación Nim.

"El malware escrito en lenguajes de programación poco comunes pone a la comunidad de seguridad en desventaja, ya que la falta de familiaridad de los investigadores y los ingenieros de reversa puede obstaculizar su investigación", dijeron los investigadores de Netskope, Ghanashyam Satpathy y Jan Michael Alcantara.

El malware basado en Nim ha sido una rareza en el panorama de amenazas, aunque esto ha ido cambiando lentamente en los últimos años, ya que los atacantes continúan desarrollando herramientas personalizadas desde cero usando el lenguaje o portando versiones existentes de sus programas nefastos a este.

Esto se ha demostrado en el caso de cargadores como NimzaLoader, Nimbda, IceXLoader, así como familias de ransomware rastreadas bajo los nombres Dark Power y Kanti.

La cadena de ataque documentada por Netskope comienza con un correo electrónico de phishing que contiene un documento de Word adjunto que, al abrirse, insta al destinatario a habilitar las macros para activar la implementación del malware Nim. El remitente del correo se disfraza de un funcionario del gobierno nepalí.

Una vez lanzado, el implante es responsable de enumerar los procesos en ejecución para determinar la existencia de herramientas de análisis conocidas en el host infectado y terminarse rápidamente si encuentra alguna.

De lo contrario, el backdoor establece conexiones con un servidor remoto que imita un dominio del gobierno de Nepal, incluyendo el Centro Nacional de Tecnología de la Información (NITC) y espera instrucciones adicionales. Los servidores de comando y control (C2) ya no son accesibles -

mail[.]mofa[.]govnp[.]org
nitc[.]govnp[.]org
mx1[.]nepal[.]govnp[.]org
dns[.]govnp[.]org

"Nim es un lenguaje de programación compilado de tipado estático", dijeron los investigadores. "Aparte de su sintaxis familiar, sus características de compilación cruzada permiten a los atacantes escribir una variante de malware y tenerla compilada cruzadamente para apuntar a diferentes plataformas".


La divulgación ocurre mientras Cyble reveló una campaña de ingeniería social que utiliza mensajes en plataformas de redes sociales para entregar un nuevo malware basado en Python llamado Editbot Stealer que está diseñado para recolectar y exfiltrar datos valiosos a través de un canal de Telegram controlado por un actor.

Malware basado en Nim

Incluso mientras los actores de amenazas experimentan con nuevas cepas de malware, también se han observado campañas de phishing distribuyendo malware conocido como DarkGate y NetSupport RAT a través de correo electrónico y sitios web comprometidos con señuelos de actualización falsos (también conocido como RogueRaticate), particularmente aquellos de un clúster denominado BattleRoyal.

La empresa de seguridad empresarial Proofpoint dijo que identificó al menos 20 campañas que usaron malware DarkGate entre septiembre y noviembre de 2023, antes de cambiar a NetSupport RAT a principios de este mes.

Una secuencia de ataque identificada a principios de octubre de 2023 destaca especialmente por encadenar dos sistemas de entrega de tráfico (TDS) – 404 TDS y Keitaro TDS – para filtrar y redirigir a las víctimas que cumplen con sus criterios a un dominio operado por un actor que alojaba un payload que explotaba CVE-2023-36025 (puntuación CVSS: 8.8), un bypass de seguridad de Windows SmartScreen de alta gravedad que fue abordado por Microsoft en noviembre de 2023.

Esto implica que BattleRoyal armó esta vulnerabilidad como un día cero un mes antes de que fuera revelada públicamente por el gigante tecnológico.

DarkGate está diseñado para robar información y descargar cargas de malware adicionales, mientras que NetSupport RAT, que comenzó como una herramienta legítima de administración remota, se ha metamorfoseado en un arma potente empuñada por actores malintencionados para infiltrarse en sistemas y establecer un control remoto sin restricciones.

"Los actores de amenazas cibercriminales [están] adoptando cadenas de ataque nuevas, variadas y cada vez más creativas – incluyendo el uso de varias herramientas TDS – para permitir la entrega de malware", dijo Proofpoint.

"Adicionalmente, el uso de señuelos de email y actualizaciones falsas muestra al actor utilizando múltiples tipos de técnicas de ingeniería social en un intento de que los usuarios instalen la carga final".

DarkGate también ha sido utilizado por otros actores de amenazas como TA571 y TA577, ambos conocidos por diseminar una variedad de malware, incluyendo AsyncRAT, NetSupport RAT, IcedID, PikaBot y QakBot (también conocido como Qbot).

"TA577, por ejemplo, uno de los distribuidores de Qbot más prominentes, regresó a los datos de amenazas de correo electrónico en septiembre para entregar malware DarkGate y desde entonces ha sido observado entregando PikaBot en campañas que típicamente tienen decenas de miles de mensajes", dijo Selena Larson, analista senior de inteligencia de amenazas en Proofpoint, a The Hacker News.


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más