Ladrón de información Braodo
14 de octubre de 2024
Qué aprenderá en este artículo
- Dirigido a los sectores de medios de comunicación, marcas, marketing y publicidad digital en EE. UU. y Reino Unido.
- Altamente dirigido con aproximadamente 100 mensajes al mes.
- La intención principal es entregar malware para obtener credenciales para GitHub, Amazon AWS y otras plataformas.
Samantha Clarke y el equipo de investigación de amenazas de Mimecast han estado monitoreando e investigando una sofisticada campaña de phishing dirigida a organizaciones de marketing. En esta novedosa campaña, los ciberdelincuentes se hacen pasar por una marca conocida para intentar engañar a las víctimas y que descarguen archivos maliciosos de Dropbox. Estos archivos maliciosos buscan en última instancia distribuir malware en forma del ladrón de información Braodo.
Difundido a través de correos electrónicos de phishing y spear phishing, el malware utiliza GitHub y un servidor VPS con sede en Singapur para alojar y distribuir su código. Desarrollado por actores de amenazas con sede en Vietnam, Braodo Stealer exfiltra datos de navegadores de Internet a través de bots de Telegram. La información robada incluye credenciales de plataformas financieras, así como cuentas de GitHub, Amazon AWS y otras plataformas.
El análisis de Cyfirma detalla que el malware se ofusca varias veces y utiliza scripts por lotes, PowerShell, ejecutables (exe), HTA y archivos PDF para propagarse. Se utilizan múltiples repositorios de GitHub para alojar el código malicioso, mientras que se utilizan múltiples bots de Telegram para la exfiltración de datos. Opera sigilosamente en segundo plano, recopilando y archivando datos, que luego se envían a los bots de Telegram. Los detalles completos de las capacidades del malware se pueden leer en la investigación de amenazas de Cyfirma.
Protección de Mimecast
Hemos identificado varios atributos en las campañas que se han añadido a nuestras capacidades de detección.
Destinatarios
Estados Unidos y Reino Unido, principalmente sectores de medios de comunicación, marcas, marketing y publicidad digital.
IOC
Dominios del remitente:
- ads-hogan[.]com
- hoganhr[.]com
- hrhogan[.]com
- mkt-hogan[.]com
- partner-hogan[.]com
- usa-hogan[.]com
Recomendaciones
- Asegúrese de tener una política de protección de archivos adjuntos establecida para proteger a la organización.
- Busque en sus registros de recepción de correo electrónico para determinar si alguno de los asuntos coincidentes se ha entregado a sus usuarios.
- Informe a los usuarios finales sobre la tendencia continua de utilizar herramientas legítimas en campañas maliciosas.
