Las amenazas de infracción de derechos de autor se han convertido en el último método para que los operadores de malware engañen a sus objetivos.
Los investigadores de Cisco Talos informan que un ataque en curso en Taiwán se está propagando a través de correos electrónicos de phishing que contienen archivos adjuntos de malware.
Los correos electrónicos dirigidos a empresas y agencias de publicidad pretenden ser avisos legales del titular de los derechos de autor o del representante legal de la empresa que reclama los derechos de autor. El mensaje va acompañado de un archivo adjunto en PDF que parece ser un documento legal que detalla la denuncia.
“Los correos electrónicos señuelo y los nombres de archivos PDF falsos están diseñados para hacerse pasar por el departamento legal de una empresa y engañar a las víctimas para que descarguen y ejecuten malware”, escribió Joey Chen, investigador de Cisco Talos.
“Otra observación que hicimos es que el malware PDF falso utiliza los nombres de conocidas empresas de tecnología y medios en Taiwán y Hong Kong. Esto es una fuerte evidencia de que se ha llevado a cabo una investigación exhaustiva de antemano”.
Cuando la víctima abre el archivo adjunto, aparece como un PDF, pero en realidad es un archivo ejecutable que se redirige a través del dominio de Google Appspot.com y luego a través de otro servicio de acortamiento de URL de terceros y finalmente llega al dominio de Dropbox.
Luego, el dominio infecta a las víctimas con la carga útil real: malware de robo de información diseñado para recopilar credenciales de cuentas y otra información personal. El malware fue identificado como LummaC2 o Rhadamanthys, que está disponible en los mercados de la web oscura.
“La cadena de infección comienza con un correo electrónico de phishing que contiene un enlace de descarga malicioso”, explicó Chen.
“Una vez que una víctima descarga un archivo RAR malicioso, se requiere una contraseña específica para descomprimirlo, lo que revela un malware ejecutable en PDF falso y un archivo de impresión de imagen”.
Chen dijo que era difícil atribuir el ataque a algún grupo en particular, dadas las tácticas de ofuscación empleadas por los operadores.
“Basándonos en los metadatos del archivo EPS y su imagen de vista previa en un motor de búsqueda, encontramos una imagen idéntica con el mismo nombre de archivo en un sitio web vietnamita”, escribieron los investigadores.
“Sin embargo, no hay pruebas sólidas de que haya sido creado por autores de esa región”.
https://packetstormsecurity.com/news/view/36548/Malware-Operators-Use-Copyright-Infringement-To-Lure-In-Businesses.html