Cientos de empresas en todo el mundo han sido blanco de correos electrónicos de phishing que alegan infracción de derechos de autor, que en realidad son un ladrón de información.
A partir de julio, Check Point Research comenzó a rastrear los correos electrónicos a medida que se difundían por América, Europa y el Sudeste Asiático, cada vez provenientes de un nuevo dominio. Se dirigieron a cientos de clientes, lo que indica que el alcance real de la campaña podría ser mucho mayor.
El propósito de estos correos electrónicos es engañar a las víctimas culpables para que descarguen Radamantoun sofisticado ladrón de información capaz también de robar la inteligencia de un estado nación o, en este caso, las frases de contraseña de las carteras de criptomonedas.
CopiaR(ight)hadamantys
No hay dos correos electrónicos en la campaña que los investigadores han denominado “CopiaR(ight)hadamantys” provienen de la misma dirección, lo que indica que debe haber algún tipo de automatización detrás de su distribución. Esta automatización resulta complicada en determinadas circunstancias, como cuando un objetivo israelí recibe un correo electrónico casi exclusivamente en coreano, y limita la capacidad de los correos electrónicos para transmitir de manera realista hacerse pasar por marcas conocidas.
Cada uno parece provenir de representantes legales de empresas específicas y conocidas. Casi el 70% de estas empresas provienen del sector tecnológico (como el propio Check Point) o del sector de medios y entretenimiento.
El perfil de las marcas usurpadas encaja perfectamente en la historia difundida por los atacantes: según la cual los destinatarios publicaron en las redes sociales algún tipo de contenido que violaba los derechos de autor. “Supongo que todo el mundo lo ha hecho en un grado u otro en su vida”, dice Sergey Shykevich, jefe del grupo de inteligencia de amenazas de Check Point. “Simplemente hace que la gente dude y se pregunte: ‘Oh, ¿utilicé una mala imagen? ¿Copié texto?’ [by accident]?’ Incluso si no lo hicieras”.
Se solicita a los destinatarios que eliminen imágenes y vídeos específicos, cuyos detalles están contenidos en un archivo protegido con contraseña. El archivo es en realidad un enlace que redirige al usuario a descargar un archivo de Dropbox o Discord. El archivo contiene un documento señuelo, un ejecutable legítimo y una biblioteca de vínculos dinámicos (DLL) maliciosa que contiene al ladrón Rhadamanthys.
Lo que necesitas saber sobre Radamanto
Rhadamanthys es un ladrón de información popular y consumado. Como explica Shykevich, “es sin duda el más sofisticado de los ladrones de información que se venden como malware básico en la Dark Web. Es más caro que otros ladrones de información: la mayoría de las veces, alquilarás otros ladrones de información por entre 100 y 200 dólares más”. Es mucho más modular, más oscuro y más complicado en la forma en que está construido: la forma en que se carga, se oculta, todo eso hace que la detección sea mucho más complicada.
Entre otras características, la última versión 0.7 de Rhadamanthys incluye un componente de reconocimiento óptico de caracteres (OCR) basado en aprendizaje automático ligeramente arcaico. No es inteligencia artificial (IA) avanzada: tiene problemas con textos de colores mezclados, no puede leer escritura a mano y solo interpreta las fuentes más populares. Sin embargo, ayuda al malware a leer datos de documentos estáticos (como archivos PDF) e imágenes.
En CopyR(ight)hadamantys, el módulo OCR viene con un diccionario de 2048 palabras asociadas con códigos de protección de billetera Bitcoin. Esto podría sugerir que los atacantes buscan criptomonedas, lo que, de ser cierto, también encajaría con la amplia orientación de la campaña, característica de las campañas con motivación financiera. En los últimos meses, Rhadamanthys también ha sido asociado con actores que amenazan a estados-nación como Irán. Mantícora del Vacíoy el grupo propalestino “Handala”.
Una extraña característica de sigilo
Las organizaciones que buscan defenderse contra los CopyR(ight)hadamants deberían comenzar con protecciones contra el phishing, pero hay otra peculiaridad de la campaña que también vale la pena señalar.
Después de llegar a tierra, la DLL maliciosa escribe una versión mucho más grande de sí misma en la carpeta Documentos de la computadora víctima, que se hace pasar por un componente de Firefox. Esta versión del archivo es funcionalmente equivalente a la primera. Lo que lo hace aún más engorroso es la “superposición”: datos innecesarios que cumplen dos metafunciones. Primero, cambia el valor hash del archivo, una forma común en que los programas antivirus identifican malware.
Algunos programas antivirus también evitan escanear archivos muy grandes. “Por ejemplo, no quieren ejecutar archivos asociados con juegos, con una gran cantidad de gigabytes, porque crea una carga pesada”, dice Shykevich. Según esta lógica, un archivo Rhadamanthys que de otro modo sería innecesariamente más grande podría mejorar sus posibilidades de evitar la detección. Sin embargo, añade, “esto no es muy común porque tampoco es práctico para los atacantes tratar con archivos grandes”. Con algunas soluciones de correo electrónico, no puedes adjuntar archivos de más de 20 MB, por lo que debes enviar a la víctima a un recurso externo. “Así que es una táctica, pero no una táctica loca que siempre funciona”.
Es posible que las organizaciones quieran detectar archivos particularmente grandes que los empleados podrían descargar de sus correos electrónicos. “No es fácil, porque hay muchas razones por las que algunos registros legítimos serán grandes”, afirma. “Pero creo que es posible implementar algunas [effective] reglas sobre lo que puedes descargar.