Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Usan materiales académicos reales para infectar investigadores con RokRAT


Una campaña de phishing dirigido está utilizando detalles de eventos académicos reales para engañar a investigadores y lograr que abran malware. La operación distribuye una variante de RokRAT mediante un paquete de documentos falsos que parecen estar vinculados a un seminario auténtico, aprovechando información real para que el correo electrónico parezca rutinario y confiable.



Una campaña de phishing dirigida está utilizando detalles reales de eventos académicos para engañar a los investigadores y lograr que abran malware.

La operación distribuye una variante de RokRAT a través de un paquete de documentos falsos que parece estar relacionado con un seminario real.

Los atacantes utilizaron información de un evento académico real para que el correo electrónico pareciera rutinario y confiable.

Se dirigió a los destinatarios a un archivo ISO alojado en la nube que parecía una descarga normal de materiales de la conferencia, aumentando la probabilidad de que fuera abierto.

Genians afirmó en un informe que identificó la actividad como la Operación Capsule Vault.

 

El nombre refleja la forma en que los atacantes ocultan tanto un documento de apariencia legítima como componentes maliciosos dentro de un único contenedor ejecutable.

La campaña muestra cómo los actores de amenazas pueden convertir la información de eventos públicos en un señuelo convincente.

Flujo de Ataque (Fuente – Genians)

En lugar de confiar en mensajes obviamente sospechosos, los operadores utilizaron un contexto profesional familiar, lo que hace que el ataque sea más difícil de detectar para los investigadores y el personal ocupado antes de abrir el archivo.

Arman materiales de eventos académicos reales

Los mensajes de phishing afirmaban distribuir materiales para el Foro de Turismo Honsan Kalma, un evento celebrado en Seúl el 9 de junio.

Los atacantes suplantaron a una organización independiente y presentaron el correo electrónico como un aviso comercial estándar que contenía materiales relacionados con la conferencia.

Pantalla de correo electrónico de Spear-Phishing (Fuente – Genians)

En lugar de adjuntar un documento normal, el correo dirigía a los destinatarios a una imagen ISO alojada en Dropbox.

El ISO utilizaba un nombre de archivo similar al de un folleto de seminario y contenía un programa disfrazado de PDF, aprovechando el hecho de que Windows puede ocultar las extensiones de archivo conocidas a los usuarios.

Una vez ejecutado, el archivo engañoso muestra el documento académico esperado mientras la actividad maliciosa continúa en segundo plano.

Este enfoque dual ayuda a reducir la sospecha porque la víctima ve material que parece relevante para el mensaje que recibió.

El ejecutable funciona como un cargador multietapa, extrayendo contenido embebido adicional antes de iniciar la siguiente fase.

Los analistas descubrieron que el documento señuelo tenía contenido vinculado al evento real, mientras que los detalles de su creación mostraban un desajuste temporal que indicaba que el archivo no era un folleto auténtico del evento.

RokRAT se oculta tras procesos legítimos

El cargador restaura el shellcode en la memoria e inyecta el payload de RokRAT en explorer.exe, un proceso normal de Windows.

Ejecutarse dentro de un proceso legítimo puede hacer que el comportamiento malicioso sea menos visible y complicar la detección basada únicamente en programas recién creados.

Tras la ejecución, el malware recopila detalles del sistema y prepara comunicaciones basadas en la nube.

El informe encontró soporte para los servicios de Dropbox, pCloud y Yandex, con canales separados para recibir comandos y cargar la información recopilada.

Payload Table (Source - Genians)
Tabla de Payload (Fuente – Genians)

RokRAT puede tomar capturas de pantalla, recopilar archivos, enumerar unidades, obtener información de procesos y ejecutar comandos emitidos por sus operadores.

También puede eliminar rastros seleccionados, incluidos los archivos creados en ubicaciones temporales y en la carpeta de Inicio, tras recibir una instrucción de limpieza.

Los investigadores vincularon la campaña con la familia RokRAT más amplia a través de su diseño de servicio en la nube, el manejo de comandos y las similitudes de código con actividades anteriores.

Evaluaron que la operación probablemente está conectada al grupo APT37, aunque señalaron que la atribución debe considerar en conjunto la infraestructura, los patrones de las víctimas, las tácticas y otras pruebas.

Las organizaciones deben verificar los correos electrónicos inesperados con materiales de eventos a través de canales oficiales antes de abrir enlaces o archivos.

Los equipos de seguridad también deberían monitorizar descargas inusuales de ISO, ejecutables que parecen documentos, inyecciones de procesos anormales y conexiones a servicios en la nube que sigan a una actividad de correo electrónico sospechosa.

TipoIndicadorDescripción
Servicio en la nubeDropboxUtilizado para alojar y distribuir la imagen ISO maliciosa a través del señuelo de phishing.
Servicio en la nubepCloudSoportado por la variante de RokRAT para comunicaciones basadas en la nube.
Servicio en la nubeYandexSoportado por la variante de RokRAT para comunicaciones basadas en la nube.
Procesoexplorer.exeProceso legítimo de Windows objetivo para la inyección del payload de RokRAT.
Tipo de archivoImagen ISOFormato de imagen de disco malicioso distribuido a través de la campaña de phishing de eventos académicos.
Tipo de archivoEjecutable PIFFormato ejecutable disfrazado de documento PDF dentro de la imagen ISO.

Nota: Las direcciones IP y los dominios han sido desinfectados intencionadamente (por ejemplo, [.]) para evitar la resolución accidental o la creación de hipervínculos. Vuelve a activarlos solo dentro de plataformas de inteligencia de amenazas controladas como MISP, VirusTotal o tu SIEM.



Fuentes:
https://cybersecuritynews.com/hackers-weaponize-real-academic-event-materials/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.