RedLine Stealer, es una de las familias de malware de robo de información, más utilizados en el último tiempo, si bien existen otros Infostealear, RedLine es uno de los proveedores que destacan en el robo de credenciales para ser vendidas en los distintos mercados clandestinos, uno de estos mercados era Breach Forums, que hace tan solo unos días fue cerrado para siempre, tras el arresto de su creador Conor Brian Fitzpatrick el pasado 18 de marzo, en Nueva York.
Para conocer más información sobre Infostealers visita el siguiente boletín: https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1305/
Antecedentes
Los grupos de ciber actores detrás de los Infostealers siempre están actualizando sus TTP´s, investigando nuevas tecnologías, aprovechándose de servicios gratuitos y que den confianza a las potenciales víctimas.
El servicio de documentos en línea en este caso de Adobe Acrobat Sign, es un servicio de firma electrónica que permite a los usuarios cargar documentos en la nube y compartirlos con otros usuarios, para que sean firmados electrónicamente.
Adobe posee una versión gratuita de este servicio por 30 días en su portal Adobe.com, entre las características principales se puede apreciar integración con Office 365, acceso a consola de administración, envíos masivos y mucho más.
En la siguiente imagen se pueden ver todas las características ofrecidas en esta versión.
Ilustración 1: Versión Free Trial disponible en Adobe Sign
Fuente: Adobe
Actualmente este servicio es de prueba y gratuito, pero los ciber actores se han aprovechado de él utilizándolo de forma inadecuada, para cargar sus documentos maliciosos en los servidores públicos de Adobe ubicados en eu1.documents.adobe[.]com/public/ (Actualmente Offline).
Método de propagación
Investigadores de empresas de Antivirus, han detectado que los ciber actores están abusando de este servicio para distribuir Redline .
Una vez que se cargan estos documentos, los ciber actores los comparten con destinatarios específicos (víctimas), mediante el servicio de notificación por correo electrónico de Adobe, luego se registran en el servicio a través de un correo electrónico falso y cargan un documento que contiene un enlace a un sitio web diseñado por ellos, luego envían invitaciones a través de un correo genuino de Adobe para que revisen y firmen dichos documentos.
El enlace en el documento lleva a las víctimas a otro sitio falso creado por los ciber actores, protegido a través de un CAPTCHA codificado, posteriormente se insta a las víctimas a descargar un archivo ZIP que trae embebido el infostealer Redline.
En la siguiente imagen se puede visualizar un correo tipo empleado por los ciber actores, al intentar que una víctima revise y firme un documento recibido en su correo electrónico a través de Adobe Acrobat Sign, en este caso una supuesta infracción de derechos de autor.
Ilustración 2: Correo falso notificando a usuario por infracción de derechos de autor
Fuente: Bleepingcomputer
Mal uso de servicios en la nube
Se ha detectado que en los últimos meses, varios grupos de ciber actores se han dirigido a los servicios basados en la nube, para realizar diversas actividades maliciosas, incluido el cryptohacking, la distribución de malware y más.
El mes pasado, un grupo de atacantes informáticos, denominado Nevada Group , apuntó a miles de servidores de VMware en la nube en los EE. UU. y Europa, al explotar vulnerabilidades que no habían sido parchadas por mucho tiempo.
Casi al mismo tiempo, el grupo de ciber actores 8220 Gang , con sede en China, estaba atacando servidores en la nube mal protegidos, con el bot Tsunami IRC y un criptominero personalizado.
Apreciación
Los distintos ciber actores presentes en el panorama de amenazas, seguirán buscando brechas de seguridad en servicios alojados en la nube como Adobe Acrobat Sign, intentando dar un sentido lógico y creíble a sus ataques para que las víctimas accedan a sus requerimientos en este caso a través de correo electrónico y ataques de phishing, ya que sigue siendo una de las formas rápidas y directa de comunicarse con sus objetivos.
Es importante que las organizaciones efectúan constantes capacitaciones a sus colaboradores y los actualicen con las nuevas Tacticas Tecnicas y Procedimientos (TTP´s), que están utilizando los ciber actores en la actualidad, esto ayudará a reportar y contener a tiempo una posible amenaza informática.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente: