Se utilizan señuelos de capturas de pantalla falsas para infectar al personal de soporte de Web3 con malware…

Un grupo de amenazas conocido como APT-Q-27 ha estado ejecutando una campaña activa contra los equipos de atención al cliente de Web3, utilizando enlaces de capturas de pantalla falsos en ventanas de chat en vivo para instalar silenciosamente una backdoor persistente en las máquinas víctimas. El ataque se dirige a la parte más humana de cualquier organización (el agente de soporte que responde a los tickets) en lugar de explotar las vulnerabilidades del software o las debilidades de la red.

El grupo, también rastreado como GoldenEyeDog, ha estado activo desde al menos 2022 y tiene un sólido historial de apuntar a los sectores de los juegos de azar y las criptomonedas. Los analistas de ZeroShadow identificaron esta campaña después de que sus socios de 1inch señalaran una actividad inusual en su cola de soporte: múltiples solicitudes de ayuda de diferentes cuentas y direcciones IP rotativas, cada una siguiendo el mismo patrón: un enlace corto disfrazado de captura de pantalla. ZeroShadow rastreó las herramientas, mapeó la infraestructura y rastreó la actividad hasta APT-Q-27 con una confianza moderada. Lo que los atacantes entregaron fue un sofisticado paquete de malware de varias etapas.

Al abrirlo se muestra lo que parece una página web rota, mientras que la instalación de malware se ejecuta silenciosamente en segundo plano. La publicación Señuelos de capturas de pantalla falsas utilizadas para infectar al personal de soporte de Web3 con malware de múltiples etapas apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗