Investigadores de seguridad descubrieron una nueva versión del malware Rhadamanthys escrito en C++, el cual, se estaría utilizando mediante campañas de phishing dirigidas al sector del petróleo y gas.

Rhadamanthys, diseñado para establecer conexiones con un servidor de comando y control (C2), es utilizado para recopilar datos confidenciales de los hosts comprometidos.

«Los correos electrónicos de phishing utilizan un señuelo único de incidente vehicular y, en etapas posteriores de la cadena de infección, falsifican a la Oficina Federal de Transporte en un PDF que menciona una multa significativa por el incidente», dijo el investigador de Cofense Dylan Duncan.

Según se supo, el mail viene con un enlace malicioso que aprovecha una falla de redireccionamiento abierta para llevar a los destinatarios a un enlace que alberga un supuesto documento PDF, pero, en realidad, es una imagen que, al hacer clic, descarga un archivo ZIP con la carga útil del actor. «Esta campaña apareció pocos días después de que las fuerzas del orden eliminaran el grupo de ransomware LockBit», dijo Duncan. «Si bien esto podría ser una coincidencia, Trend Micro reveló en agosto de 2023 una variante de Rhadamanthys que venía incluida con una carga útil LockBit filtrada, junto con un malware clipper y un minero de criptomonedas.

Rhadamanthys, apareció en medio del surgimiento de otras nuevas familias de malware como Sync-Scheduler y Mighty Stealer, incluso cuando otras cepas ya existentes habían evolucionado con técnicas mejoradas de ofuscación y antianálisis, como por ejemplo StrelaStealer. También siguió al surgimiento de una campaña de malspam dirigida a Indonesia, la cual empleaba señuelos vinculados con la banca para propagar el malware Agent Tesla y robar credenciales de inicio de sesión, datos financieros y documentos personales.

Aseguran, además, que esta última campaña fue dirigida a Australia y EE.UU., según Check Point, quienes atribuyeron los ataques a dos actores africanos identificados como Bignosa (también conocido como Nosakhare Godson y Andrei Ivan) y Gods (también conocido como GODINHO, Kmarshal o Kingsley Fredrick). Dicha compañía de ciberseguridad, descubrió también que Agent Tesla estaba protegido por Cassandra Protector, que ayuda a proteger los programas de software contra esfuerzos de modificación o ingeniería inversa. Los mensajes se envían a través de una herramienta de correo web de código abierto llamada RoundCube.

«Como se ve en la descripción de las acciones de estos actores de amenazas, no se requiere ningún título científico para llevar a cabo las operaciones de delitos cibernéticos detrás de una de las familias de malware más frecuentes en los últimos años», dijo Check Point, quienes ratifican, además, que la causa de estos acontecimientos es debido al bajo umbral de nivel de entrada que tienen las organizaciones.

Fuente

https://thehackernews.com/2024/04/new-phishing-campaign-targets-oil-gas.html