La operación de ataque SteganoAmor utiliza imágenes para difundir malware

Se ha observado que el grupo de amenazas conocido como TA558 emplea esteganografía, una técnica para ocultar datos dentro de imágenes y archivos de texto, para distribuir varios tipos de malware, incluidos Agent Tesla, FormBook, Remcos RAT, LokiBot, GuLoader, Snake Keylogger y XWorm.

La empresa rusa de ciberseguridad Positive Technologies informó el lunes que TA558 utiliza ampliamente la esteganografía, incrustando scripts y documentos maliciosos dentro de imágenes y archivos de texto con nombres de archivo como greatloverstory.vbs y easytolove.vbs. Esta campaña, denominada SteganoAmor, se dirige principalmente a industrias como el sector industrial, de servicios, público, de energía eléctrica y de construcción en países latinoamericanos, aunque también se han visto afectadas empresas de Rusia, Rumania y Turquía.

Otros ataques vinculados al actor de amenazas TA558

También se ha observado que TA558 implementa Venom RAT a través de ataques de phishing dirigidos a empresas en España, México, Estados Unidos, Colombia, Portugal, Brasil, República Dominicana y Argentina. Estos ataques generalmente comienzan con correos electrónicos de phishing que contienen archivos adjuntos de Microsoft Excel que explotan una falla de seguridad parcheada (CVE-2017-11882) para descargar un script de Visual Basic, lo que en última instancia conduce a la ejecución del malware Agent Tesla. Además del Agente Tesla, la cadena de ataque también puede incluir FormBook, GuLoader, LokiBot, Remcos RAT, Snake Keylogger y XWorm, todos diseñados para acceso remoto, robo de datos y entrega de carga útil secundaria.

Para mejorar la credibilidad y evadir las puertas de enlace de correo electrónico, TA558 envía correos electrónicos de phishing desde servidores SMTP comprometidos y utiliza servidores FTP infectados para almacenar datos robados. Mientras tanto, otro grupo, denominado Lazy Koala por Positive Technologies, ha estado atacando organizaciones gubernamentales en Rusia, Bielorrusia, Kazajstán, Uzbekistán, Kirguistán, Tayikistán y Armenia con un malware conocido como LazyStealer, destinado a recolectar credenciales de Google Chrome.

Esta actividad sugiere posibles conexiones con otro grupo de hackers, YoroTrooper (también conocido como SturgeonPhisher), identificado por Cisco Talos, según la geografía de las víctimas y los artefactos de malware.