Investigadores de ciberseguridad han descubierto una campaña de ingeniería social que ataca empresas con correos no deseados para obtener acceso a sus sistemas. Tyler McGraw, Thomas Elkins y Evan McCann de Rapid7 informaron que un actor de amenazas abruma a los usuarios con basura y los llama para ofrecer ayuda. Los usuarios son instados a descargar software de monitoreo remoto como AnyDesk o usar la asistencia remota de Microsoft.
La campaña ha estado activa desde finales de abril de 2024, con correos que buscan abrumar las defensas de correo electrónico. Luego, los usuarios son contactados por teléfono y engañados para instalar un software de escritorio remoto, lo que permite la descarga de cargas adicionales para recopilar credenciales y mantener la persistencia en los dispositivos.
La empresa de ciberseguridad observó un intento de despliegue de software malicioso en otros activos de la red. Aunque no se ha ejecutado ransomware como parte de la campaña, la actividad se relaciona con operadores de ransomware Black Basta y FIN7. La cadena de ataque también ha entregado herramientas de gestión remota adicionales, como ConnectWise ScreenConnect, y un troyano de acceso remoto llamado NetSupport RAT.
Esto sigue a la revelación de la empresa Proofpoint sobre una nueva campaña de ransomware LockBit Black utilizada Phorpiex como conducto para entregar mensajes de correo electrónico con ransomware. Se desconoce quién está detrás del ataque, y se cree que la muestra de LockBit Black fue construida a partir de un generador filtrado en 2023. El grupo de ransomware Mallox ha sido observado distribuyendo malware a través de servidores Microsoft SQL utilizando un cargador basado en .NET. Las personalidades asociadas con el grupo han sido identificadas en la dark web.
Vía The Hacker News
