Sticky Werewolf: El actor de amenazas que utiliza un implante no documentado para desplegar Lumma Stealer en Rusia y Bielorrusia
En el mundo de la ciberseguridad, constantemente surgen nuevas amenazas que desafían las defensas de las organizaciones y los individuos. Una de estas amenazas recientes es el actor conocido como Sticky Werewolf, quien ha sido vinculado a ataques dirigidos principalmente en Rusia y Bielorrusia, con el objetivo de distribuir el malware Lumma Stealer mediante un implante previamente no documentado.
La empresa de ciberseguridad Kaspersky ha estado rastreando esta actividad bajo el nombre de Angry Likho, la cual presenta una "fuerte similitud" con Awaken Likho (también conocido como Core Werewolf, GamaCopy y PseudoGamaredon). Sin embargo, los ataques de Angry Likho tienden a ser más específicos, con una infraestructura más compacta, un rango limitado de implantes y un enfoque en empleados de grandes organizaciones, incluyendo agencias gubernamentales y sus contratistas.
Se sospecha que los actores detrás de estas amenazas probablemente sean hablantes nativos de ruso, dado el uso fluido de este idioma en los archivos señuelo utilizados para desencadenar la cadena de infección. El mes pasado, la empresa de ciberseguridad F6 (anteriormente conocida como F.A.C.C.T.) describió a este grupo como un "grupo ciberespía pro-Ucraniano".
Los atacantes han sido encontrados principalmente seleccionando organizaciones en Rusia y Bielorrusia, con cientos de víctimas identificadas en el primer país. Actividades de intrusión previas asociadas con el grupo han aprovechado correos electrónicos de phishing como conducto para distribuir varias familias de malware, como NetWire, Rhadamanthys, Ozone RAT, y un backdoor conocido como DarkTrack, este último lanzado a través de un cargador llamado Ande Loader.
La secuencia de ataque implica el uso de correos electrónicos de spear-phishing que contienen un archivo adjunto trampa (por ejemplo, archivos comprimidos), dentro de los cuales hay dos archivos de acceso directo de Windows (LNK) y un documento señuelo legítimo. Los archivos comprimidos son responsables de avanzar la actividad maliciosa a la siguiente etapa, desatando un proceso complejo de múltiples etapas para desplegar el robo de información Lumma.
Este implante fue creado utilizando el instalador legítimo de código abierto, Nullsoft Scriptable Install System, y funciona como un archivo autoextraíble (SFX). Los ataques han sido observados incorporando pasos para evadir la detección por parte de los proveedores de seguridad mediante una verificación de emuladores y entornos en sandbox, causando que el malware termine o reanude después de un retraso de 10,000 ms, una técnica también vista en los implantes de Awaken Likho.
Esta superposición ha planteado la posibilidad de que los atacantes detrás de las dos campañas compartan la misma tecnología o probablemente sean el mismo grupo utilizando un conjunto diferente de herramientas para diferentes objetivos y tareas. Lumma Stealer está diseñado para recopilar información del sistema y del software instalado en los dispositivos comprometidos, así como datos sensibles como cookies, nombres de usuario, contraseñas, números de tarjetas bancarias y registros de conexión. También es capaz de robar datos de varios navegadores web, carteras de criptomonedas, extensiones de navegador de carteras criptográficas (MetaMask), autenticadores, y de aplicaciones como AnyDesk y KeePass.
El grupo confía en utilidades maliciosas fácilmente disponibles obtenidas de foros de la darknet, en lugar de desarrollar sus propias herramientas. El único trabajo que hacen ellos mismos es escribir los mecanismos de entrega de malware al dispositivo de la víctima y elaborar correos electrónicos de phishing dirigidos.
Este artículo no solo destaca la sofisticación de los ataques cibernéticos actuales, sino también la importancia de estar informado y preparado para defenderse contra estas amenazas en constante evolución.