La empresa de seguridad identifica un ataque generativo de AI ‘Vishing’
Un nuevo informe del Centro de Defensa Cibernética de Ontinue ha identificado un complejo ataque cibernético de varias etapas que aprovechó la ingeniería social, las herramientas de acceso remoto y los binarios firmados para infiltrarse y persistir dentro de una red objetivo.
La campaña comenzó con un intento de salpicadura (phishing de voz), donde el actor de amenaza explotó las capacidades de mensajería externa de los equipos de Microsoft para ofrecer una carga útil de PowerShell maliciosa. Después de la ingeniería social del objetivo para ejecutar el guión, el actor usó Microsoft Quick Assist para obtener acceso remoto a una máquina dirigida.
Una vez dentro de la red, el atacante desplegó un binario de TeamViewer firmado junto con un DLL malicioso llamado «TV.DLL», que fue resurgido para ejecutar malware en la segunda etapa. El uso de binarios firmados permitió al actor de amenaza evadir muchas soluciones de detección y respuesta de puntos finales (EDR) que confían en dichos archivos por defecto.
La segunda etapa involucró una puerta trasera basada en JavaScript (index.js) ejecutada a través de un binario Node.js renombrado (hcmd.exe). Esta puerta trasera habilita las capacidades de comando y control, utilizando Socket.io para permitir que los atacantes remotos emitan comandos a nivel de sistema.
El atacante configuró la persistencia creando un atajo de inicio que lanzó el archivo de Viewer Malicioso cada vez que se reiniciaba el sistema. También utilizaron el servicio de transferencia inteligente de fondo de Windows (BIT) para mover silenciosamente los datos y el malware de escenario por hasta 90 días.
Para mantenerse oculto, el atacante utilizó técnicas de evasión avanzada, como el hueco de procesos, el enganche API y los controles de máquinas virtuales o herramientas de depuración. Funciones como IsdebuggerPresent y ISprocessorFeaturePresent se usaron para detectar si el malware se estaba ejecutando en un sandbox o en análisis.
El atacante también ejecutó escaneos del sistema utilizando la instrumentación de administración de Windows (WMI) para recopilar detalles sobre la máquina y el software de seguridad. Para el movimiento lateral, usaron psexec.exey robaron credenciales de inicio de sesión guardadas de los navegadores web.
Si bien no está claro quién es el grupo responsable, Ontinue señaló que las tácticas utilizadas se parecen mucho a las de Storm-1811, un actor de amenaza previamente documentado por Microsoft. Conocido por abusar de los equipos de asistencia rápida y de Microsoft en campañas de ingeniería social, Storm-1811 se ha vinculado a operaciones de ransomware y otros kits de herramientas posteriores a la explotación.
El uso de técnicas de salpicadura muestra cómo los atacantes están aumentando su uso de herramientas de IA generativas en los ataques, en este caso, el uso de voces generadas por IA. También demuestra cómo las herramientas emergentes están evolucionando y aportando complejidad a los ataques. Al comentar sobre el nuevo informe de Ontinue, Nicole Carignan, vicepresidenta senior de la firma de seguridad Darktrace, dijo que la empresa debe asumir toda la responsabilidad de mantener seguros sus datos y usuarios.
«A medida que la sofisticación de los ataques de phishing y chiseh continúa creciendo, las organizaciones no pueden confiar en que los empleados sean la última línea de defensa contra estos ataques», dijo Carignan. «En cambio, las organizaciones deben usar herramientas con aprendizaje automático que puedan comprender cómo sus empleados interactúan con sus bandejas de entrada y construir un perfil de qué actividad es normal para los usuarios, incluidas sus relaciones, tono y sentimiento, contenido, cuándo y cómo siguen o comparten enlaces, etc. solo pueden reconocer con precisión la actividad sospechosa que puede indicar un phishing o ataques de aviso, o compromiso de correo electrónico empresarial (bif)».
Para obtener más información, lea el informe completo aquí.