Nobelium está utilizando una cuenta de USAID comprometida para el phishing
Como se mencionó anteriormente, los piratas informáticos rusos ahora tienen en sus manos una plataforma de marketing por correo electrónico de Constant Contact utilizada anteriormente por USAID, para llevar a cabo sus negocios turbios.
Las estimaciones muestran que más de 3.000 cuentas vinculadas a agencias gubernamentales, consultores, think tanks y otras organizaciones no gubernamentales han sido blanco de este esquema de phishing.
Y aunque la mayoría de los esfuerzos de Nobelium se han centrado principalmente en Estados Unidos, parece que el contenido malicioso ha llegado a más de 24 países, según Microsoft.
Tom Burt, vicepresidente de seguridad y confianza del cliente de Microsoft, explicó cómo el malware Native Zone llegó a las computadoras de la víctima.
Nobelium lanzó los ataques esta semana al obtener acceso a la cuenta Constant Contact de USAID. A partir de ahí, el actor pudo distribuir correos electrónicos de phishing que parecían genuinos pero que incluían un enlace que, al hacer clic, insertaba un archivo malicioso utilizado para distribuir una puerta trasera que llamamos Native Zone. Esta puerta trasera podría permitir una amplia gama de actividades, desde robar datos hasta infectar otras computadoras en una red.
En un esfuerzo por no acusar a Microsoft al permitir que la gente piense que las fallas del sistema pueden haber facilitado estos ataques, Burton dijo que muchos de los correos electrónicos estaban bloqueados, por lo que se puede descartar la vulnerabilidad de cualquier producto de Microsoft.
¿Cómo ataca el Nobelium a sus víctimas?
El correo electrónico que envían los piratas informáticos tiene un enlace incluido, y una vez que haces clic en este enlace, es más o menos como darles a los ladrones las llaves de tu casa.
Después de hacer clic en el enlace mencionado anteriormente, se envía un ISO a la máquina en cuestión, que contiene un documento señuelo, un enlace y un archivo DLL ejecutable con un cargador Cobalt Strike Beacon (Native Zone).
Cuando los usuarios realmente hacen este enlace, la DLL se ejecuta y Nobelium tiene acceso gratuito a todos sus datos, extrayendo así toda la información que desean e incluso puede entregar malware adicional.
Esta campaña de distribución de malware fue descubierta por primera vez en febrero de 2021 por Microsoft, como detallado en el post del Centro de inteligencia de amenazas de Microsoft.
