Un clic accidental en un anuncio puede resultar en un ataque de HeadLace.
El grupo de hackers APT28 recientemente comenzó una nueva campaña para distribuir el malware HeadLace a través de un anuncio falso de venta de automóviles. La campaña comenzó en marzo de 2024 y probablemente esté dirigida a diplomáticos.
Esta táctica no es nueva para los ciberdelincuentes. Durante varios años han estado utilizando anuncios falsos de venta de automóviles de lujo para atraer la atención de las víctimas e introducir código malicioso.
Anuncio falso
Según los especialistas de Unit 42, durante la última campaña relacionada con APT28, se utilizaron servicios públicos y gratuitos para alojar archivos y enlaces maliciosos. Por ejemplo, un enlace sospechoso se colocó en el servicio legítimo Webhook[.]site, que permite crear URL aleatorias para diversos fines. Esta funcionalidad fue utilizada por los hackers para distribuir un documento HTML malicioso.
Al visitar este enlace, los algoritmos en la página verifican si la computadora utiliza el sistema operativo Windows. Si no es así, el usuario es redirigido a una imagen falsa alojada en el servicio gratuito ImgBB. Sin embargo, en el caso de Windows, el documento HTML crea un archivo ZIP que contiene archivos maliciosos y lo ofrece para descargar.
El anuncio falso de venta de automóviles (Audi Q7 Quattro) contiene datos de contacto e información sobre un vendedor supuestamente ubicado en Rumania, lo que debería dar credibilidad a la oferta. Sin embargo, todos estos datos son ficticios y solo sirven para atraer la atención de las víctimas.
El archivo ZIP descargado «IMG-387470302099.zip» contiene tres archivos, uno de los cuales está disfrazado como una imagen, pero en realidad es un archivo ejecutable que contiene una copia de la calculadora legítima de Windows — «calc.exe». Este archivo se utiliza para cargar una biblioteca DLL maliciosa «WindowsCodecs.dll», que a su vez ejecuta el archivo «zqtxmo.bat», completando la cadena de infección.
APT28 utiliza activamente servicios legítimos gratuitos para alojar elementos de ataque, lo que complica su detección. Los métodos utilizados en esta campaña corresponden a ataques previamente documentados de este grupo, y el malware HeadLace está exclusivamente asociado con este grupo.
Para protegerse contra tales ataques, se recomienda limitar el acceso a los servicios populares entre los hackers o simplemente verificar cuidadosamente su uso. Las organizaciones deben monitorear de cerca los recursos de red gratuitos para identificar rápidamente posibles vectores de ataque.