Ciberamenaza en Rusia: Campaña de phishing con Amnesia RAT y ransomware
Publicado el
Campaña de Phishing Multi-Etapa en Rusia
Recientemente, se ha detectado una campaña de phishing de múltiples etapas que está dirigida a usuarios en Rusia, combinando el uso de Amnesia RAT y ransomware. Este ataque comienza con documentos de apariencia inocente que simulan ser rutinarios y que son distribuidos a través de técnicas de ingeniería social. Según la investigadora Cara Lin de Fortinet FortiGuard Labs, estos documentos y los scripts que los acompañan actúan como distracciones visuales, desviando la atención de las víctimas mientras se llevan a cabo actividades maliciosas en segundo plano.
Estrategias de Distribución
Una de las características más destacadas de esta campaña es el uso de múltiples servicios en la nube para distribuir diferentes tipos de cargas útiles. Por ejemplo, GitHub se utiliza principalmente para distribuir scripts, mientras que las cargas binarias se alojan en Dropbox. Esta separación complica los esfuerzos para desmantelar la campaña, lo que mejora su resistencia.
Otro aspecto clave es el uso de defendnot, una herramienta diseñada para desactivar Microsoft Defender. Esta herramienta, lanzada por un investigador que utiliza el seudónimo es3n1n, engaña al programa de seguridad haciéndole creer que otro antivirus ya está instalado en el sistema Windows.
Proceso de Infección
La campaña distribuye archivos comprimidos que contienen documentos de distracción y un acceso directo malicioso (LNK) con nombres en ruso. El archivo LNK utiliza una doble extensión para parecer un archivo de texto. Al ejecutarse, este archivo activa un comando de PowerShell que recupera un script de PowerShell de un repositorio de GitHub, convirtiéndose en un cargador de primera etapa para establecer una base en el sistema y ocultar evidencias de actividad maliciosa.
El script comienza ocultando la ventana de consola de PowerShell, eliminando cualquier indicio visual de que un script se está ejecutando. Posteriormente, genera un documento de texto ficticio en el directorio de datos de aplicación local del usuario y lo abre automáticamente, engañando a la víctima mientras el script envía un mensaje al atacante a través de la API de Telegram Bot para informar que la primera etapa ha sido ejecutada con éxito.
Carga Útil Final
La fase final del ataque incluye desplegar Amnesia RAT, que es capaz de robar datos y controlar el sistema de forma remota. Esta herramienta puede extraer información de navegadores, carteras de criptomonedas, y tomar capturas de pantalla, además de permitir interacciones remotas completas. La exfiltración de datos se realiza principalmente a través de HTTPS utilizando la API de Telegram Bot.
El segundo payload entregado es un ransomware que proviene de la familia Hakuna Matata, diseñado para cifrar documentos y otros archivos importantes en el sistema infectado, además de modificar silenciosamente las direcciones de las carteras de criptomonedas en el portapapeles del usuario.
Prevención y Recomendaciones
Para contrarrestar el abuso de defendnot en la API de Windows Security Center, Microsoft recomienda habilitar la Protección contra Manipulaciones para evitar cambios no autorizados en la configuración de Defender. Es fundamental que los usuarios estén alertas y monitoricen cualquier actividad sospechosa relacionada con las configuraciones de seguridad.
Esta campaña ilustra cómo las modernas amenazas pueden comprometer completamente un sistema sin necesidad de explotar vulnerabilidades de software, utilizando de manera sistemática las características nativas de Windows y herramientas administrativas para desactivar las defensas antes de desplegar cargas útiles destructivas.