Investigadores de seguridad han descubierto que dos grupos de ciberdelincuentes, ComicForm (un grupo nuevo y poco documentado) y SectorJ149 (también llamado UAC-0050), están usando campañas de phishing para distribuir el peligroso malware Formbook . Estos ataques están dirigidos principalmente a organizaciones en Bielorrusia, Kazajistán y Rusia, y se enfocan en los sectores de la industria, las finanzas, el turismo, la biotecnología, la investigación y el comercio. En el caso de SectorJ149, también se ha visto atacando empresas de fabricación y tecnología en Corea del Sur.
SectorJ149 es un grupo pro-ruso que antes se enfocaba en obtener ganancias económicas, pero sus actividades recientes sugieren motivaciones políticas, ideológicas o de hacktivismo.
¿Cómo funcionan los ataques?
Ambos grupos utilizan la ingeniería social como principal vector de ataque. Aunque tienen algunas diferencias técnicas, su modus operandi es muy similar:
- Correos de phishing con temas engañosos: Los atacantes envían correos electrónicos que simulan ser comunicaciones oficiales. Los asuntos más comunes son “Esperando documento firmado”, “Factura para pago” y “Acta de conciliación para firma”. Estos mensajes, escritos en ruso o en inglés, se disfrazan como comunicaciones oficiales para engañar a la víctima.
- Adjuntos maliciosos: Los mensajes incluyen un archivo comprimido en formato .rr que contiene un ejecutable de Windows. Este ejecutable se disfraza como un PDF, por ejemplo, con nombres como Акт_сверки pdf 010.exe.
- Carga útil (payload): El ejecutable inicial es un cargador ofuscado en .NET que lanza una llamada DLL MechMatrix Pro.dll. Luego, se ejecuta otra llamada DLL Montero.dll, que sirve como cuentagotas y finalmente despliega el malware Formbook .
- Evasión de defensas: Antes de ejecutar Formbook, el malware crea tareas programadas y configura exclusiones en Microsoft Defender, lo que le ayuda a evadir la detección automática.
- Ingeniería social adicional: En algunas campañas, los atacantes redirigen a las víctimas a páginas falsas que imitan servicios internos de gestión de documentos para robar credenciales. Utilice JavaScript para tomar capturas de pantalla del sitio real (a través de un servicio de API) para que el diseño vea lo más parecido posible al legítimo.
Elementos curiosos y tácticas avanzadas
- Gifs de superhéroes: En el código del malware de ComicForm, se encontraron enlaces a GIFs de superhéroes de cómic, como Batman. Estos GIFs no se utilizan en los ataques, sino que se cree que son parte de las tácticas de ofuscación para confundir a los analistas.
- Conocimiento de las herramientas de defensa: La configuración de exclusiones en Microsoft Defender demuestra que los atacantes están al tanto de las herramientas de defensa y diseñan su malware para evadir los mecanismos de seguridad automáticos.
- Técnica de suplantación de páginas web: El uso de servicios de captura de pantalla para crear una imagen de fondo del sitio web real en la página de phishing es una técnica avanzada que ayuda a confundir al usuario, haciéndole creer que está en la página legítima.
Consecuencias potenciales y recomendaciones
Si la infección tiene éxito, los atacantes pueden robar credenciales, capturar pulsaciones de teclado (keylogging), tomar capturas de pantalla y filtrar archivos. Esto podría resultar en la pérdida de datos sensibles, secretos industriales y grandes pérdidas financieras para las organizaciones afectadas.
Para mitigar estos ataques, se recomienda tomar las siguientes medidas:
- Cuidado con los correos sospechosos: Ten cuidado con los correos que piden firmar documentos, facturas u otros trámites, especialmente si vienen de dominios que no reconoces.
- Verifica los archivos: No abras ejecutables que digan ser PDF o de otro formato. Siempre verifique la extensión real del archivo y, si es posible, su firma digital.
- Refuerza tus defensas: Asegúrate de que tu software antivirus/antimalware esté actualizado. Monitorea las tareas programadas y las exclusiones en las defensas de tu endpoint .
- Capacita al personal: Educa a tus empleados para que detecten phishing, páginas falsas y solicitudes inesperadas. Enséñales a verificar los enlaces y la URL antes de hacer clic.
- Usa autenticación multifactor (MFA): Implementar MFA es una medida crucial para reducir el daño si se roban las credenciales.
