Los expertos en ciberseguridad han descubierto una nueva campaña de malware que utiliza páginas falsas de Google Sites y smuggled HTML para distribuir el troyano comercial AZORult, un ladrón de información que ha estado en circulación desde 2016. Esta campaña de phishing es de naturaleza amplia y tiene como objetivo la recopilación de datos sensibles para su venta en foros clandestinos. El malware es capaz de recopilar información como credenciales, cookies e historial de navegación de los navegadores web, así como capturas de pantalla, documentos y datos de billeteras de criptomonedas. Se cree que esta técnica de smuggling HTML es una forma encubierta de burlar los controles de seguridad, lo que le permite al malware llegar a su objetivo sin ser interceptado por los controles de seguridad habituales.
Esta campaña utiliza una técnica llamada smuggled HTML, en la que el payload malicioso está incrustado en un archivo JSON que se aloja en un sitio web externo. Esta técnica de smuggling HTML ayuda al malware a evitar los controles de seguridad tradicionales, como las pasarelas de correo electrónico, lo que le permite llegar a su objetivo. Se cree que el objetivo de esta campaña es robar información sensible y venderla en foros clandestinos. El malware es capaz de recopilar información como credenciales, cookies e historial de navegación, así como capturas de pantalla, documentos y datos de billeteras de criptomonedas.
La actividad de ataque más reciente es la creación de páginas falsas de Google Sites que utilizan smuggled HTML para entregar el payload. La barrera CAPTCHA utilizada por la campaña no solo da una apariencia de legitimidad, sino que también sirve como una capa adicional de protección contra los escáneres de URL. Una vez instalado, el malware es capaz de recopilar información sensible que se vende en foros clandestinos.
Un archivo de acceso directo (.LNK) disfrazado como un estado de cuenta bancario en PDF inicia la instalación del malware basado en PowerShell. La campaña utiliza una técnica de bypass AMSI para evitar ser detectada por una variedad de productos antimalware basados en hosts, incluido Windows Defender. Estas últimas técnicas muestran la creciente sofisticación de los atacantes. Los expertos advierten a los usuarios que tengan precaución al abrir correos electrónicos desconocidos y no descarguen archivos adjuntos de fuentes no confiables. Además, se recomienda tener siempre un software de seguridad actualizado y hacer copias de seguridad regularmente para estar preparado ante posibles ataques.
Vía The Hacker News
