Se ha observado una nueva campaña de malware que utiliza información confidencial robada de un banco como señuelo en correos electrónicos de phishing para soltar un troyano de acceso remoto llamado BitRAT.
Se cree que el adversario desconocido secuestró la infraestructura de TI de un banco cooperativo colombiano, utilizando la información para elaborar mensajes señuelo convincentes para atraer a las víctimas a abrir archivos adjuntos sospechosos de Excel.
El descubrimiento proviene de la firma de ciberseguridad Qualys, que encontró evidencia de un volcado de base de datos que comprende 418,777 registros que se dice que se obtuvieron explotando fallas de inyección SQL.
Los detalles filtrados incluyen números de cédula (un documento nacional de identidad emitido a ciudadanos colombianos), direcciones de correo electrónico, números de teléfono, nombres de clientes, registros de pago, detalles salariales y direcciones, entre otros.
No hay señales de que la información se haya compartido previamente en ningún foro en la red oscura o en la web clara, lo que sugiere que los propios actores de la amenaza tuvieron acceso a los datos de los clientes para montar los ataques de phishing.
El archivo de Excel, que contiene los datos bancarios exfiltrados, también incorpora una macro que se utiliza para descargar una carga útil DLL de segunda etapa, que está configurada para recuperar y ejecutar BitRAT en el host comprometido.
“Utiliza la biblioteca WinHTTP para descargar cargas útiles incrustadas de BitRAT desde GitHub al directorio %temp%”, dijo el investigador de Qualys Akshat Pradhan.
Creado a mediados de noviembre de 2022, el repositorio de GitHub se utiliza para alojar muestras ofuscadas del cargador BitRAT que finalmente se decodifican y se lanzan para completar las cadenas de infección.
BitRAT, un malware disponible a la venta en foros clandestinos por solo $ 20, viene con una amplia gama de funcionalidades para robar datos, recolectar credenciales, extraer criptomonedas y descargar binarios adicionales.
“Las RAT comerciales han estado evolucionando su metodología para propagar e infectar a sus víctimas”, dijo Pradhan. “También han aumentado el uso de infraestructuras legítimas para alojar sus cargas útiles y los defensores deben rendir cuentas de ello”.
