Cibercriminales rusos atacan a ciudadanos de su propio país
Durante los ya más de dos meses de guerra en Ucrania, hemos visto diversas informaciones sobre la vertiente cibernética del conflicto, pero como es previsible la mayoría de los ciberataques iban dirigidos desde el país invasor hacia el país agredido. Sin embargo, ahora vemos cómo hay ciberdelincuentes rusos que también han aprovechado para atacar a sus compatriotas.
La guerra está teniendo consecuencias desastrosas en todos los ámbitos, también en el cibernético. Por ello, y ante el incremento de campañas de phishing y malware promovidas por atacantes rusos contra empresas de su propio país, Netskope, líder en SASE, muestra en qué consiste el riesgo de que se utilicen instancias en la nube falsas para entregar contenido malicioso.
Hasta el momento, la mayoría de los actores de amenazas de origen ruso habían optado por respetar a las organizaciones locales, a excepción de algunos, como el operador de ransomware OldGremlin, que lleva desde la primavera de 2020 lanzando ofensivas contra dichas empresas. Ahora, y aprovechando el hecho de que los ciudadanos están más expuestos de lo habitual, debido a que muchos proveedores de seguridad han suspendido sus operaciones en este mercado, este grupo ha resurgido con dos nuevas campañas de phishing, que se benefician de las sanciones que actualmente afectan al país.
La primera de ellas, lanzada el pasado 22 de marzo, aprovecha la suspensión de las operaciones de Visa y Mastercard en Rusia, para engañar al usuario y que éste rellene un formulario para solicitar una nueva tarjeta. El supuesto documento es en realidad un documento de Office malicioso ubicado en Dropbox y que, una vez ejecutado, carga una plantilla alojada en el mismo servicio. A través de una puerta trasera denominada Tiny Fluff, los atacantes pueden controlar el endpoint comprometido y realizar actividades maliciosas como el robo de información y de archivos, y la descarga de archivos arbitrarios.
El 25 de marzo se descubrió una versión adicional y simplificada de esta campaña, y a pesar de que esta segunda operación entrega una versión más simple del TinyFluff, igualmente explota Dropbox para entregar los archivos utilizados en la etapa inicial del ataque.
“Una vez más, los atacantes han utilizado un servicio en la nube conocido para entregar contenido malicioso, y en este caso específico también están aprovechando la situación geopolítica que está provocando que tanto las organizaciones como los individuos sean más vulnerables”, asegura Paolo Passeri, Director de Ciber-inteligencia de Netskope.
Sin embargo, esta no es la única campaña reciente que ha explotado Dropbox, en un ejemplo completamente diferente los actores de la amenaza apuntaron al sector bancario africano a través del RemcosRAT entregado desde Dropbox (de nuevo), y un viejo conocido como OneDrive. Curiosamente en esta segunda campaña la carga útil se entrega a través del descargador GuLoader que, al menos en este caso, no se entrega a través de un servicio en la nube, si no por medio de Técnicas HTML Smuggling.
