Investigadores de ciberseguridad han descubrieron una nueva campaña de phishing dirigidas a personas en Pakistán utilizando una puerta trasera personalizada. Esta campaña, denominada PHANTOM#SPIKE por Securonix, estaría aprovechando documentos de phishing relacionados con el ejército de dicho país para activar la infección. Según un informe presentado por los investigadores Den Iuzvyk, Tim Peck y Oleg Kolesnikov, los actores utilizaron archivos ZIP con un archivo de carga útil protegidos con contraseña. Dentro del archivo hay un archivo de ayuda HTML compilado (CHM) de Microsoft y un ejecutable oculto («RuntimeIndexer.exe»), el cual actúa de forma sigilosa tan pronto como el usuario haga clic en cualquier parte del documento.

La falta de sofisticación y el uso de cargas útiles simples para lograr acceso remoto a las máquinas de destino hizo que la campaña se destaque por sobre otras de sus mismo tipo ya que, el correo electrónico, viene con un archivo ZIP que pretende ser actas de reuniones relacionadas con el Foro Técnico-Militar Internacional del Ejército, un evento legítimo organizado por el Ministerio de Defensa de la Federación Rusa, el cual, está previsto que se celebre en Moscú a mediados de agosto de 2024.

El ejecutable está diseñado para funcionar como una puerta trasera que establece conexiones con un servidor remoto a través de TCP para recuperar comandos que posteriormente se ejecutan en el host comprometido.

«Esta puerta trasera funciona esencialmente como un troyano de acceso remoto (RAT) basado en línea de comandos que proporciona al atacante un acceso persistente, encubierto y seguro al sistema infectado», dijeron los investigadores.

Además de transmitir información del sistema, ejecuta los comandos a través de cmd.exe, recopila el resultado de la operación y lo exfiltra al servidor. Esto incluye ejecutar comandos como systeminfo, tasklist, curl para extraer la dirección IP pública usando ip-api[.]com y schtasks para configurar la persistencia. “Esta particular forma de ejecutar comandos de forma remota y transmitir los resultados al servidor C2 permite al atacante controlar el sistema infectado, robar información confidencial y/o ejecutar cargas útiles de malware adicionales».

Fuente

https://thehackernews.com/2024/06/military-themed-emails-used-to-spread.html?m=1