El grupo ShadowGate regresa con una campaña global de marketing electrónico, infecta a las víctimas con tres piezas de malware



Después de casi dos años de actividad restringida esporádica, el grupo de ciberdelincuentes ShadowGate (también conocido como WordsJS) lanzó una campaña de publicidad maliciosa global que ofrece SEON ransomware, un minero de criptomonedas y el ladrón de credenciales Pony a través del kit de vulnerabilidades Greenflash Sundown actualizado.

La campaña de ShadowGate se vio por primera vez en 2015. Entregó malware con kits de explotación a través de los servidores de publicidad comprometidos de Revive / OpenX, una popular compañía de tecnología de publicidad. Después de una operación de desmontaje en septiembre de 2016, el grupo trató de ocultar su actividad y ese mismo año también desarrollaron su propio kit de explotación, que los investigadores llamaron Greenflash Sundown. Durante casi dos años, ShadowGate restringió su actividad y se dirigió principalmente a Asia (especialmente a Corea del Sur), por lo que la escala global de nuevos ataques es una sorpresa.

La nueva campaña fue detectada tanto por Malwarebytes como por Trend Micro, quienes publicaron sus propios informes que detallan los ataques. Según Trend Micro, los nuevos ataques comenzaron a principios de junio y aumentaron significativamente a partir del 21 de junio. Al 24 de junio, las tasas más altas de ataques se detectaron en Japón, 54.36%, seguidas de Italia (26.68%), Alemania (4.54%). ) y Estados Unidos (4%).

Esta última campaña es similar a las operaciones anteriores de ShadowGate; también ofrece anuncios maliciosos a sitios web populares a través de servidores de anuncios comprometidos. Pero los investigadores notaron varias nuevas adiciones a Greenflash Sundown EK, que aparentemente los actores de amenazas han estado actualizando continuamente a pesar de la pausa en la actividad.

El primer cambio implica la integración de un algoritmo de cifrado de clave pública para proteger la carga útil del kit de explotación, y el segundo es un cargador PowerShell actualizado que permite a sus operadores realizar algunas comprobaciones previas antes de decidir abandonar la carga útil o no.

“Por ejemplo, en este caso, se comprobará que el entorno no sea una máquina virtual. Si el entorno es aceptable, proporcionará una carga útil muy visible en el ransomware de SEON ", explicó Jerome Segura, Director de Malwarebytes de Inteligencia de amenazas.

El ransomware utiliza un script por lotes para eliminar las instantáneas, lo que dificulta que las víctimas recuperen sus datos. Además de eso, "GreenFlash Sundown EK también dejará caer a Pony y un minero de la moneda, mientras que las víctimas luchan para decidir el mejor curso de acción para recuperar sus archivos", dijo Segura.

Fuente: https://www.cybersecurity-help.cz/blog/601.html