Directores financieros de seis regiones globales se han convertido en el objetivo de una sofisticada campaña de phishing, reportan varias fuentes.
Los atacantes utilizan NetBird, una herramienta de acceso remoto, para tomar el control sigilosamente de los computadores de las víctimas sin explotar ninguna vulnerabilidad de la propia herramienta.
Según un análisis detallado de la firma de ciberseguridad Trellix, la campaña se reveló el 15 de mayo, cuando sus productos de seguridad de correo electrónico detectaron actividad sospechosa.
¿Cómo funciona el ataque?
La operación comienza con un correo electrónico de reclutamiento falso que parece provenir de un reclutador real de Rothschild & Co. El asunto dice «Oportunidad de liderazgo en Rothschild & Co (Confidencial)».
El correo electrónico tienta a los destinatarios con un puesto ejecutivo estratégico y contiene un enlace que simula ser un archivo PDF, pero no lo es.
Al hacer clic en el enlace, la víctima accede a una página alojada en Firebase con un CAPTCHA matemático personalizado. Al resolverlo, se descifra una URL oculta que descarga un archivo ZIP llamado «Rothschild_&_Co-6745763.zip«. Dentro hay un pequeño archivo de Visual Basic Script (VBS).
Una vez abierto, ese script obtiene otro script desde una dirección IP e instala NetBird y OpenSSH, ambas herramientas legítimas.
El ataque adquiere un cariz más oscuro: crea una cuenta de administrador oculta, habilita el Protocolo de Escritorio Remoto (RDP) y garantiza que el atacante pueda volver en cualquier momento lo que hace la víctima, sin que la víctima lo sepa.
Alcance
La campaña de phishing se ha dirigido a directores financieros de Europa, África, Canadá, Oriente Medio y el sur de Asia, especialmente a empresas de los sectores bancario, de seguros, de inversión y energético.
Si bien parte de la infraestructura del atacante se superpone con campañas anteriores de estados nación, Trellix afirma que, hasta el momento, no ha atribuido este ataque a ningún actor de amenazas conocido.
La firma de ciberseguridad elogió la rápida actuación del equipo responsable de NetBird, que «actuó de inmediato para bloquear a los actores maliciosos y cancelar cualquier acceso para garantizar la seguridad continua de su plataforma».
Trellix enfatizó que NetBird no fue explotado mediante ninguna vulnerabilidad. Los atacantes simplemente abusaron de sus capacidades instalándolo de forma sigilosa.
No es la primera vez que se utiliza este método de phishing
Los investigadores de Trellix también descubrieron páginas de phishing antiguas que utilizaban el mismo truco CAPTCHA personalizado. Un ejemplo, aún activo, es un enlace falso de SharePoint de hace un año que envía el mismo script VBS.
Otro sitio de Firebase mostró un comportamiento similar, pero desde entonces ha dejado de estar disponible.
La Autorité des marchés financiers (AMF) de Francia también advirtió recientemente sobre ataques de suplantación de identidad similares.
Los indicadores compartidos por la AMF coincidieron con los encontrados en esta campaña, aunque las tácticas utilizadas para atraer a las víctimas difirieron.
Esta campaña forma parte de una tendencia creciente en la que los atacantes utilizan herramientas legítimas de acceso remoto como NetBird, Atera, ConnectWise, Splashtop y FleetDeck para pasar desapercibidos.
Si eres un director o ejecutivo financiero, desconfía de las ofertas o mensajes de trabajo no solicitados, especialmente los que incluyen archivos ZIP o enlaces extraños, nunca ignores las advertencias para abrir descargas o habilitar scripts e informa a tu equipo de sistemas si te llega un correo sospechoso.
No dejes de leer: Lecciones de liderazgo de Jacinta Ardern, ex primera ministra de Nueva Zelanda
