Una nueva campaña de ataque cibernético está aprovechando el script de PowerShell asociado con una herramienta legítima de red teaming para saquear hashes NTLMv2 de sistemas Windows comprometidos ubicados principalmente en Australia, Polonia y Bélgica.
La actividad ha sido llamada Steal-It por Zscaler ThreatLabz.
“En esta campaña, los actores de amenazas roban y exfiltran hashes NTLMv2 utilizando versiones personalizadas del script Start-CaptureServer PowerShell de Nishang, ejecutando varios comandos del sistema y exfiltrando los datos recuperados a través de las API de Mockbin”, dijeron los investigadores de seguridad Niraj Shivtarkar y Avinash Kumar.
Nishang es un marco y colección de scripts y cargas útiles de PowerShell para seguridad ofensiva, pruebas de penetración y red teaming.
Los ataques aprovechan hasta cinco cadenas de infección diferentes, aunque todas aprovechan los correos electrónicos de phishing que contienen archivos ZIP como punto de partida para infiltrarse en objetivos específicos utilizando técnicas de geofencing.
- Cadena de infección de robo de hash NTLMv2, que emplea una versión personalizada del script de PowerShell Start-CaptureServer mencionado anteriormente para recopilar hashes NTLMv2
- Cadena de infección para robo de información del sistema, en la cual OnlyFans atrae a usuarios australianos para descargar un archivo CMD que sustrae información del sistema
- Cadena de infección “Fansly whoami”, que utiliza imágenes explícitas de modelos ucranianos y rusos de Fansly para atraer a usuarios polacos a descargar un archivo CMD que exfiltra los resultados del comando “whoami”.
- Cadena de infección de actualización de Windows, que se dirige a usuarios belgas con scripts de actualización de Windows falsos diseñados para ejecutar comandos como tasklist y systeminfo
Vale la pena señalar que la última secuencia de ataque fue destacada por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en mayo de 2023 como parte de una campaña APT28 dirigida contra instituciones gubernamentales en el país.
Esto plantea la posibilidad de que la campaña Steal-It también podría ser obra del actor de amenazas patrocinado por el estado ruso.
“Los scripts de PowerShell personalizados de los actores de amenazas y el uso estratégico de los archivos LNK dentro de los archivos ZIP resaltan su experiencia técnica”, dijeron los investigadores. “La persistencia mantenida al mover archivos de la carpeta Descargas al inicio y cambiarles el nombre subraya la dedicación de los actores de amenazas al acceso prolongado”.
