Una nuova campagna malware è stata osservata utilizzando informazioni sensibili rubate da una banca come esca nelle e-mail di phishing per eliminare un trojan di accesso remoto chiamato BitRAT.
Si ritiene che l’avversario sconosciuto abbia dirottato l’infrastruttura IT di una banca cooperativa colombiana, utilizzando le informazioni per creare convincenti messaggi esca per attirare le vittime ad aprire allegati Excel sospetti.
La scoperta proviene dalla società di sicurezza informatica Qualys, che ha trovato prove di un dump del database comprendente 418.777 record che si dice siano stati ottenuti sfruttando errori di iniezione SQL.
I dettagli trapelati includono numeri Cédula (un documento di identità nazionale rilasciato a cittadini colombiani), indirizzi e-mail, numeri di telefono, nomi dei clienti, registri di pagamento, dettagli salariali e indirizzi, tra gli altri.
Non ci sono segni che le informazioni siano state precedentemente condivise su alcun forum nella darknet o nel clear web, suggerendo che gli stessi attori delle minacce hanno avuto accesso ai dati dei clienti per montare gli attacchi di phishing.
Il file Excel, che contiene i dati bancari esfiltrati, incorpora anche al suo interno una macro utilizzata per scaricare un payload DLL di seconda fase, configurato per recuperare ed eseguire BitRAT sull’host compromesso.
“Utilizza la libreria WinHTTP per scaricare payload incorporati BitRAT da GitHub alla directory %temp%”, ha detto il ricercatore di Qualys Akshat Pradhan.
Creato a metà novembre 2022, il repository GitHub viene utilizzato per ospitare campioni di caricatori BitRAT offuscati che vengono infine decodificati e lanciati per completare le catene di infezione.
BitRAT, un malware pronto all’uso disponibile in vendita sui forum sotterranei per soli $ 20, viene fornito con una vasta gamma di funzionalità per rubare dati, raccogliere credenziali, estrarre criptovaluta e scaricare binari aggiuntivi.
“I RAT commerciali hanno sviluppato la loro metodologia per diffondere e infettare le loro vittime”, ha detto Pradhan. “Hanno anche aumentato l’utilizzo di infrastrutture legittime per ospitare i loro carichi utili e i difensori devono tenerne conto”.