El grupo TA4557 ha desplegado una nueva táctica desde octubre de 2023, enfocándose en reclutadores mediante correos electrónicos directos que conducen a la entrega de malware. Los mensajes iniciales son inofensivos y muestran interés en una vacante. Si el destinatario responde, la cadena de ataque se pone en marcha.
Anteriormente, durante gran parte de 2022 y 2023, este grupo solía postularse a listados de empleos existentes, haciéndose pasar por un solicitante. El actor incluía URL maliciosas o archivos que contenían estos en la solicitud. Estas URL no estaban vinculadas directamente, requiriendo que el usuario las copiara y pegara para acceder al sitio web.
En campañas recientes, TA4557 ha utilizado tanto el nuevo método de correos electrónicos directos a reclutadores como la técnica anterior de aplicar a empleos publicados en bolsas de trabajo para iniciar la cadena de ataque.
En la cadena de ataque que usa el nuevo método de correo electrónico directo, al responder al correo inicial, el actor envía una URL que lleva a un sitio web controlado por ellos, simulando ser el currículum de un candidato. También han enviado archivos PDF o Word con instrucciones para visitar dicho sitio.
De forma notable, en campañas observadas en noviembre de 2023, TA4557 indicó al destinatario “referirse al nombre de dominio de mi dirección de correo electrónico para acceder a mi portafolio” en lugar de enviar directamente la URL del sitio del currículum en un correo de seguimiento. Esto parece ser un intento de evadir la detección automatizada de dominios sospechosos.
Si las víctimas potenciales visitan el “sitio web personal” como indicado por el actor, la página imita un currículum de un candidato postulándose para un puesto. El sitio utiliza filtros para decidir si llevar al usuario a la siguiente etapa del ataque.
Si la víctima no pasa las comprobaciones de filtro, se le redirige a una página con un currículum en texto plano. Si pasa las comprobaciones, se le lleva al sitio del candidato. Este sitio utiliza un CAPTCHA que, al completarse, inicia la descarga de un archivo ZIP que contiene un archivo de acceso directo (LNK). Si se ejecuta, este abusa de funciones legítimas de software en “ie4uinit.exe” para descargar y ejecutar un script desde un archivo “ie4uinit.inf”, técnica conocida como “Living Off The Land” (LOTL).
El archivo DLL generado emplea técnicas anti-sandbox y anti-análisis. Además, incorpora un bucle específicamente diseñado para recuperar la clave RC4 necesaria para descifrar el backdoor More_Eggs. Está estratégicamente creado para prolongar su tiempo de ejecución, mejorando su capacidad de evasión en entornos de pruebas. También utiliza múltiples comprobaciones para determinar si está siendo depurado.
El backdoor More_Eggs se implementa junto con el ejecutable MSXSL. Posteriormente, se inicia la creación del proceso MSXSL usando el servicio WMI. Una vez completado, el DLL se borra a sí mismo. More_Eggs se usa para establecer persistencia, perfilar la máquina y descargar cargas adicionales.
Proofpoint ha estado rastreando a TA4557 desde 2018 como un actor de amenazas hábil y motivado financieramente, conocido por distribuir el backdoor More_Eggs capaz de perfilar los endpoints y enviar cargas adicionales. Se destaca por su uso de herramientas y malware únicos, estrategias de evasión sofisticadas y su infraestructura controlada por el actor.
La actividad atribuida a TA4557 se ha superpuesto históricamente con la del grupo de ciberdelincuentes FIN6 en informes externos. El suite de malware utilizado por TA4557 también ha sido observado en grupos como Cobalt Group y Evilnum, aunque Proofpoint los considera como clusters de actividad distintos.
Este grupo demuestra ingeniería social sofisticada y adapta sus señuelos a oportunidades de trabajo legítimas en línea. La tonalidad y el contenido de los correos sugieren al destinatario que el actor es un candidato legítimo, lo que dificulta la detección inmediata.
Para las organizaciones que usan sitios web de empleo externos, es crucial estar al tanto de las tácticas de TA4557 y educar a los empleados, especialmente a los encargados de reclutamiento, sobre esta amenaza.