Un actor de amenazas desconocido se dirige a empresas de Facebook y usuarios de cuentas publicitarias en Taiwán a través de una campaña de phishing, utilizando correos electrónicos señuelo y nombres de archivos PDF falsos.
Estos engaños están diseñados para hacerse pasar por el equipo legal de una empresa y atraer a la víctima con su información falsificada, convenciéndola de descargar y ejecutar malware.
Además, los delincuentes enviaron correos electrónicos de phishing desde un conocido fabricante de motores industriales y una famosa tienda en línea en Taiwán, alegando infracción de derechos de autor por parte de la empresa.
“Los correos electrónicos exigen la eliminación del contenido infractor en un plazo de 24 horas, el cese de su uso sin permiso por escrito y advierten sobre posibles acciones legales y reclamaciones de compensación por incumplimiento”. » dijeron los investigadores de Cisco Talosquienes observaron las estafas en acción.
Dijeron que los actores de amenazas también utilizan diversas técnicas y herramientas para evadir la detección antivirus y el escaneo de sandbox, como el cifrado de código shell, la ofuscación de código y la incorporación de ladrones de información LummaC2 y Rhadamanthys en binarios legítimos.
ladrón de lumma es malware diseñado para extraer información de sistemas comprometidos, apuntando a detalles del sistema, navegadores web y extensiones de navegador, entre otros datos.
Radamanto es un sofisticado ladrón de información que se vende en foros clandestinos y apareció por primera vez hace dos años. Recopila información del sistema, credenciales, billeteras de criptomonedas, contraseñas, cookies y datos de otras aplicaciones.
Esta campaña de phishing ha estado en marcha al menos desde julio; El vector inicial de la campaña es un enlace de descarga de malware incluido en un correo electrónico de phishing que utiliza señuelos tradicionales chinos típicos, lo que indica que las víctimas objetivo son hablantes de chino.