Campaña de phishing utiliza CV falsos para robar credenciales empresariales
Publicado el
Introducción
Un grupo de hackers ha iniciado una campaña de phishing que utiliza currículos falsos para robar credenciales de empresas y desplegar mineros de criptomonedas. Esta actividad se dirige principalmente a entornos de habla francesa y ha sido identificada por el equipo de Securonix.
Detalles de la campaña
Los atacantes emplean archivos VBScript altamente ofuscados, disfrazados como documentos de currículum, que son enviados a través de correos electrónicos fraudulentos. Según el informe de los investigadores Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee, una vez que el archivo se ejecuta, el malware activa un conjunto de herramientas multifuncionales que combinan el robo de credenciales, exfiltración de datos y minería de Monero.
La operación ha sido nombrada FAUX#ELEVATE y destaca por el uso de servicios legítimos como Dropbox para el almacenamiento de cargas maliciosas y sitios de WordPress en Marruecos para el alojamiento de la configuración de comando y control.
Técnicas de ataque
El archivo inicial que se descarga es un script de Visual Basic que, al abrirse, presenta un mensaje de error en francés para engañar a los usuarios haciéndoles creer que el archivo está dañado. En el fondo, el script ofuscado ejecuta una serie de comprobaciones para evadir sistemas de detección y entra en un bucle persistente de Control de Cuentas de Usuario (UAC), lo que incita a los usuarios a ejecutarlo con privilegios de administrador.
De las 224,471 líneas de código del script, solo 266 son realmente ejecutables; el resto son comentarios irrelevantes que incrementan el tamaño del archivo a 9.7MB.
Una vez que el dropper obtiene privilegios administrativos, desactiva los controles de seguridad y se asegura de ocultar su rastro configurando rutas de exclusión en Microsoft Defender y deshabilitando el UAC mediante cambios en el registro de Windows.
Herramientas y métodos utilizados
El dropper también se encarga de descargar dos archivos 7-Zip protegidos por contraseña desde Dropbox. Estos archivos contienen ejecutables para robar datos y herramientas para la minería de criptomonedas. Entre las herramientas empleadas se encuentra un componente que utiliza el proyecto ChromElevator para extraer datos sensibles de navegadores basados en Chromium.
Otras herramientas relevantes incluyen: - mozilla.vbs: malware para robar perfiles y credenciales de Mozilla Firefox. - mservice.exe: un minero de XMRig que se lanza después de obtener la configuración de minería desde un sitio comprometido. - WinRing0x64.sys: un controlador legítimo de Windows utilizado para maximizar el potencial de minería de la CPU. - RuntimeHost.exe: un componente troyano persistente que modifica las reglas del Firewall de Windows y se comunica periódicamente con un servidor de C2.
Exfiltración de datos
Los datos del navegador se exfiltran utilizando cuentas de mail.ru que comparten la misma contraseña para enviar la información robada a otra dirección controlada por los atacantes. Una vez completadas las actividades de robo de credenciales y exfiltración, la cadena de ataque inicia una limpieza agresiva de todas las herramientas desplegadas, dejando solo el minero y el troyano.
Conclusión
La campaña FAUX#ELEVATE representa una operación de ataque bien organizada y multifase, que combina diversas técnicas en una única cadena de infección. Lo que la hace particularmente peligrosa para los equipos de seguridad empresariales es la rapidez de ejecución, completando la cadena de infección en aproximadamente 25 segundos desde la ejecución del VB hasta la exfiltración de credenciales. Además, su enfoque selectivo en máquinas unidas a dominios asegura que cada host comprometido ofrezca el máximo valor a través del robo de credenciales corporativas y la explotación de recursos.