- Los piratas informáticos han llegado a las agencias a través de un formulario del sitio web “por favor contáctenos”
- Luego hablan con las víctimas durante varias semanas antes de ser desplegados en malware
- Los piratas informáticos están atacando con la puerta trasera de la custodia personalizada
Los expertos han advertido que los ciberdelincuentes están tratando de proporcionar malware detrás de ellos para firmar un acuerdo falso no publicado (NDA) a las empresas con sede en los Estados Unidos, advirtieron los expertos.
Cómo promover un nuevo informe sobre investigadores de seguridad en el punto de control, los delincuentes buscan socios, proveedores y de manera similar como una empresa con sede en los Estados Unidos.
A menudo, parecen dominios puros o latentes con un historial comercial válido. Después de eso, llegan a las posibles víctimas, no por correo electrónico (como la práctica estándar) sino a través de sus formularios de “contáctenos” u otros canales de comunicación proporcionados en el sitio web.
Mixchel cae
Cuando las víctimas regresan a su investigación, generalmente es por correo electrónico, lo que abre la puerta para suministrar malware.
Sin embargo, los atacantes no hacen esto de inmediato. En cambio, crean relaciones con las víctimas, hasta unas pocas semanas, en un momento piden firmar una NDA conectada de sus víctimas.
El archivo tiene varios documentos, incluidos archivos Clean PDF y DOCX para tirar a las víctimas, y un archivo .lnk malicioso que desencadena el cargador con sede en Powerhall.
Este cargador finalmente colocó una puerta trasera llamada Mixchel, que presenta un implante en memoria personalizado que presenta un comando y control basados en DNS (C2) y un aumento de los procesos de diligencia.
Los puntos de control no discutieron el número de víctimas potenciales, pero dijo que estaban en docenas, cambiando el tamaño, la geografía e industrias.
La mayoría (aproximadamente 5%) con Singapur, Japón y Suiza se encuentran en los Estados Unidos, un número significativo de daños. Las empresas son en su mayoría de producción industrial, hardware y semiconductores, productos y servicios de consumo y biotecnología y farmacéutica.
“Esta distribución sugiere que el atacante está buscando puntos para ingresar a las ricas industrias operativas y de la cadena crítica de la cadena de suministro en lugar de concentrarse en un cierto lado vertical”, argumentan los puntos de control.
Los investigadores no pudieron culpar con confianza esta campaña a ningún actor de amenaza familiar, pero dijeron que el cargador de transferencias tiene evidencia para indicar la promoción y que un grupo cibernético se ha identificado como unk_grencec.
A través de Registro
