Un informe del equipo Zsclaer ThreatLabz revela la actividad de SPIKEDWINE, un actor de amenazas hasta ahora desconocido, que se está enfocando en funcionarios de países europeos con misiones diplomáticas de la India. Utiliza una nueva puerta trasera llamada WINELOADER para infiltrarse en los sistemas afectados.
SPIKEDWINE ha enviado correos electrónicos a sus objetivos con un archivo PDF que aparenta ser del embajador de la India y los invita a asistir a un evento de cata de vinos el 2 de febrero de 2024.
El archivo PDF fue subido a VirusTotal desde Letonia el 30 de enero de 2024, pero se sospecha que su campaña esté activa desde el 6 de julio de 2023 debido a otro archivo PDF similar que fue subido desde ese mismo país.
El hecho de que el ataque tenga bajo volumen y que SPIKEDWINE utilice tácticas avanzadas en el malware y en la infraestructura de control, han hecho que el equipo de investigadores de seguridad de Zsclaer ThreatLabz refuercen la gravedad de los ataques.
El archivo PDF contiene un enlace malicioso disfrazado de cuestionario que incita a los destinatarios a rellenarlo para poder participar en el evento. Al hacer clic en el enlace, se dispara una aplicación HTML («wine.hta») que contiene un código JavaScript ofuscado diseñado para recuperar un archivo ZIP codificado que contiene WINELOADER desde el mismo dominio.
SPIKEDWINE utiliza sitios web comprometidos para el C2 y crea cargas útiles intermedias para ocultar sus tácticas. Además, el servidor C2 sólo responde a ciertos tipos de solicitudes en momentos selectos para disminuir las posibilidades de detección.
Los investigadores han destacado cómo SPIKEDWINE se esfuerza en mantenerse oculto, evadiendo la memoria forense y las soluciones de escaneo automático de URL para evitar que sea descubierto.
Vía The Hacker News
