Los investigadores de amenazas de Proofpoint han identificado y nombrado a dos nuevos grupos cibercriminales (TA2726 y TA2727) especialistas en inyecciones maliciosas en sitios web. Asimismo, este equipo de expertos ha detectado un nuevo malware macOS entregado a través de esta metodología al que ha denominado FrigidStealer.
“Históricamente, el principal distribuidor de campañas de inyección web ha sido TA569 con SocGholish, instalando malware y realizando ataques de ransomware de seguimiento. Aunque sigue siendo destacado, el panorama se está ampliando, por lo que el seguimiento y la atribución de amenazas son cada vez más complejos”, explican los expertos de Proofpoint.
Normalmente, la cadena de ataque consta de tres partes: las inyecciones maliciosas servidas a los visitantes del sitio web, que suelen ser scripts JavaScript maliciosos; un servicio de distribución de tráfico que determina qué usuario recibe qué carga en función de unas opciones de filtrado; y la carga final que descarga el script. A veces, cada parte es gestionada por el mismo grupo, pero con frecuencia pueden ser gestionadas por diferentes ciberdelincuentes. Los investigadores de Proofpoint evalúan con un alto nivel de confianza que TA2726 actúa como servicio de distribución de tráfico para TA569 y TA2727.
Según este equipo de Proofpoint, “ni TA2726 ni TA2727 basan su actividad en el correo electrónico, sino en sitios web legítimos pero comprometidos”. Es posible que TA2726, en activo al menos desde septiembre de 2022, anuncie la venta de tráfico en foros de ciberdelincuencia, pero es difícil confirmarlo con seguridad; y trabaja por motivaciones económicas, siendo probablemente responsable de comprometer el servidor o sitio web que conduce a las inyecciones operadas por otros grupos. Por su parte, el grupo TA2727, también movido por motivos financieros, podría comprar tráfico en foros de internet para difundir malware propio o de sus clientes potenciales. Los expertos son capaces de identificar su tráfico de entre otros grupos de inyección web basándose en direcciones IP y patrones de dominio.
A finales del pasado enero, Proofpoint detectó además que las cargas de TA2727 incluían FrigidStealer, un nuevo ladrón de información para macOS con el objetivo de recopilar datos, incluidas las cookies del navegador, archivos con extensiones relacionadas con contraseñas o criptomonedas, y cualquier nota que el usuario haya creado.
“Es probable que la creciente amenaza de las inyecciones web se deba en parte a que las organizaciones están reforzando sus defensas contra amenazas como el envío de malware por correo electrónico y la explotación de redes de dispositivos periféricos, lo que obliga a los autores de las amenazas a adaptarse”, señalan desde Proofpoint. “Al margen de que las organizaciones puedan tener menos escrutinio en sitios y servidores web de seguridad, esta cadena de ataque es eficaz por sus técnicas de ingeniería social creíbles y personalizadas”.
Asimismo, para los expertos, “la mejor mitigación es la defensa en profundidad”, recomendando las siguientes medidas:
- Disponer de detecciones de red, incluyendo reglas de amenazas emergentes, y utilizar protección de endpoints.
- Formar a los usuarios para que identifiquen estas actividades e informen de cualquiera que sea sospechosa a sus equipos de seguridad. Aunque la formación es específica por naturaleza, esta puede integrarse fácilmente en un programa ya existente.
- El aislamiento de navegador puede ayudar a evitar el éxito de la explotación cuando se reciben URLs comprometidas por correo electrónico y se hace clic en ellas.
- Restringir a los usuarios de Windows la descarga de archivos de secuencia de comandos y su apertura en cualquier cosa que no sea un archivo de texto. Esto puede hacerse a través de la configuración de directivas de grupo.
