El actor de amenaza conocido como Lobo de papel ha sido observado exclusivamente dirigido a entidades rusas con un nuevo implante llamado Powermodul.
La actividad, que tuvo lugar entre julio y diciembre de 2024, destacó organizaciones en los medios de comunicación, las telecomunicaciones, la construcción, las entidades gubernamentales y los sectores de energía, dijo Kaspersky en un nuevo informe publicado el jueves.
Se evalúa que el papel Werewolf, también conocido como Goffee, realizó al menos siete campañas desde 2022, según Bi.Zone, con los ataques dirigidos principalmente al gobierno, la energía, la energía financiera, los medios y otras organizaciones.
También se ha observado que las cadenas de ataque montadas por el actor de la amenaza incorporan un componente disruptivo, en el que las intrusiones van más allá de la distribución de malware con fines de espionaje para cambiar también las contraseñas pertenecientes a las cuentas de los empleados.
Los ataques en sí se inician a través de correos electrónicos de phishing que contienen un documento de señuelo macro, que, al abrir y habilitar macros, allana el camino para el despliegue de un troyano de acceso remoto basado en PowerShell conocido como PowerRAT.
El malware está diseñado para ofrecer una carga útil de la próxima etapa, a menudo una versión personalizada del agente del marco mítico conocido como PowerTaskel y Qwakmyagent. Otra herramienta en el Arsenal del actor de amenaza es un módulo IIS malicioso llamado OWOWA, que se utiliza para recuperar las credenciales de Microsoft Outlook ingresadas por los usuarios en el cliente web.
El último conjunto de ataques documentados por Kaspersky comienza con un archivo adjunto de archivo de rar malicioso que contiene un ejecutable que se disfraza de un PDF o un documento de Word usando una doble extensión (es decir, *.pdf.exe o *.doc.exe). Cuando se inicia el ejecutable, el archivo decoy se descarga desde un servidor remoto y se muestra al usuario, mientras que la infección continúa a la siguiente etapa en segundo plano.
«El archivo en sí es un archivo del sistema de Windows (explorer.exe o xpsrchvw.exe), con parte de su código parcheado con un shellcode malicioso», dijo. «El Code Shell es similar a lo que vimos en ataques anteriores, pero además contiene un agente mítico ofuscado, que inmediatamente comienza a comunicarse con el servidor de comando y control (C2)».
La secuencia de ataque alternativa es mucho más elaborada, utilizando un archivo de RAR que incrusta un documento de Microsoft Office con una macro que actúa como un gotero para implementar y lanzar PowerModul, un script de PowerShell capaz de recibir y ejecutar scripts de PowerShell adicionales del servidor C2.
Se dice que la puerta trasera se utilizó desde el comienzo de 2024, con los actores de amenaza inicialmente que lo usan para descargar y ejecutar PowerTaskel en hosts comprometidos. Algunas de las otras cargas útiles que caen por PowerModul se enumeran a continuación –
- Flashfilegrabberque se utiliza para robar archivos de medios extraíbles, como unidades flash, y exfiltrarlos al servidor C2
- FlashFilegrabBerofflineuna variante de FlashFilegrabber que busca medios extraíbles para archivos con extensiones específicas, y cuando se encuentra, copia el disco local dentro de la carpeta «%Temp% Cachestore Connect «
- Gusano usbque es capaz de infectar medios extraíbles con una copia de PowerModul
PowerTaskel es funcionalmente similar a PowerModul en el sentido de que también está diseñado para ejecutar scripts de PowerShell enviados por el servidor C2. Pero además, puede enviar información sobre el entorno objetivo en forma de un mensaje de «verificar», así como ejecutar otros comandos recibidos del servidor C2 como tareas. También está equipado para aumentar los privilegios utilizando la utilidad PSEXEC.
En al menos un caso, se ha descubierto que PowerTaskel recibe un script con un componente de carpetas de FileGrabber que, además de replicar las características de FlashFileGrabber, incluye la capacidad de recopilar archivos de sistemas remotos a través de una ruta de red hardada utilizando el protocolo SMB.
«Por primera vez, emplearon documentos de palabras con guiones VBA maliciosos para infección inicial», dijo Kaspersky. «Recientemente, hemos observado que Goffee está abandonando cada vez más el uso de PowerTaskel a favor del agente mítico binario durante el movimiento lateral».
El desarrollo se produce cuando Bi.zone atribuyó otro grupo de amenazas llamado Sapphire Werewolf a una campaña de phishing que distribuye una versión actualizada del robador de amatistas de código abierto.
El Stealer recupera «credenciales de Telegram y varios navegadores, incluidos Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa y Edge Chromium, así como archivos de configuración de Filezilla y SSH», dijo la compañía rusa, y agregó que también puede obtener documentos, incluidos los almacenados en medios removibles.
