Investigadores de ciberseguridad informaron haber descubierto lo que ellos consideran los primeros ataques de la cadena de suministro de software de código abierto dirigidos especÃficamente al sector bancario. "Estos ataques demostraron técnicas avanzadas, incluida la focalización de componentes especÃficos en activos web del banco vÃctima mediante la incorporación de funcionalidades maliciosas", dijo Checkmarx en un informe publicado la semana pasada.
"Los atacantes utilizaron tácticas engañosas, como crear un perfil falso en LinkedIn para parecer creÃbles y centros de control y comando (C2) personalizados para cada objetivo, explotando servicios legÃtimos para actividades ilÃcitas". Desde entonces, los paquetes de npm han sido reportados y eliminados. No se revelaron los nombres de los paquetes.
En el primer ataque, se dice que el autor del malware cargó un par de paquetes en el registro npm a principios de abril de 2023 haciéndose pasar por un empleado del banco objetivo. Los módulos venÃan con un script de preinstalación para activar la secuencia de infección. Para completar el engaño, el actor detrás de la amenaza creó una página falsa en LinkedIn.
Una vez lanzado, el script determinaba el sistema operativo del host para ver si era Windows, Linux o macOS, y procedÃa a descargar un malware de segunda etapa desde un servidor remoto utilizando un subdominio en Azure que incorporaba el nombre del banco en cuestión. "El atacante utilizó de manera astuta los subdominios de Azure CDN para entregar eficazmente la carga de la segunda etapa", dijeron los investigadores de Checkmarx. "Esta táctica es particularmente ingeniosa porque evita los métodos tradicionales de lista de denegación, debido al estatus de servicio legÃtimo de Azure".
La carga de la segunda etapa utilizada en la intrusión es Havoc, un marco de comando y control de código abierto que ha estado cada vez más bajo la mira de actores maliciosos que buscan eludir la detección proveniente del uso de herramientas como Cobalt Strike, Sliver y Brute Ratel.
En un ataque no relacionado detectado en febrero de 2023, dirigido a un banco diferente, el adversario subió a npm un paquete que fue "meticulosamente diseñado para integrarse en el sitio web del banco vÃctima y permanecer inactivo hasta que se le ordenara entrar en acción". EspecÃficamente, estaba diseñado para interceptar secretamente datos de inicio de sesión y enviar los detalles a una infraestructura controlada por los actores maliciosos.
"La seguridad de la cadena de suministro se trata de proteger todo el proceso de creación y distribución de software, desde las etapas iniciales de desarrollo hasta la entrega al usuario final", dijo la compañÃa. "Una vez que un paquete malicioso de código abierto ingresa al proceso, es esencialmente una brecha instantánea, lo que hace que cualquier contramedida posterior sea ineficaz. En otras palabras, el daño está hecho".
Estos desarrollos ocurren mientras el grupo de cibercriminales de habla rusa RedCurl violó la seguridad de un banco ruso importante y una empresa australiana en noviembre de 2022 y mayo de 2023 para robar secretos corporativos e información de empleados como parte de una sofisticada campaña de phishing, según la rama rusa de Group-IB, F.A.C.C.T. "En los últimos cuatro años y medio, el grupo ruso de habla rusa Red Curl [...] ha llevado a cabo al menos 34 ataques contra empresas del Reino Unido, Alemania, Canadá, Noruega, Ucrania y Australia", dijo la compañÃa.
"Más de la mitad de los ataques, 20 en total, se dirigieron a Rusia. Entre las vÃctimas de los espÃas cibernéticos se encuentran empresas de construcción, financieras, de consultorÃa, minoristas, bancos, compañÃas de seguros y legales". Las instituciones financieras también han sido vÃctimas de ataques que utilizan una herramienta de inyección web llamada drIBAN para realizar transacciones no autorizadas desde la computadora de una vÃctima de manera que evita la verificación de identidad y los mecanismos antifraude adoptados por los bancos.
"La funcionalidad principal de drIBAN es el motor ATS (Sistema de Transferencia Automática)", señalaron los investigadores de Cleafy, Federico Valentini y Alessandro Strino, en un análisis publicado el 18 de julio de 2023. "ATS es una clase de inyecciones web que modifica en tiempo real las transferencias bancarias legÃtimas realizadas por el usuario, cambiando al beneficiario y transfiriendo el dinero a una cuenta bancaria ilegÃtima controlada por los actores maliciosos o sus afiliados, quienes luego se encargan de manejar y lavar el dinero robado".
¿Quieres saber más?