El Threat Fusion Center (TFC), una división de BlueVoyant, ha descubierto la campaña de phishing “NaurLegal” con facturas falsas de bufetes de abogados. Los atacantes se basan en documentos PDF, archivos OneNote o Excel infectados con malware.
Los atacantes se hacen pasar por bufetes de abogados y abusan de la confianza que sus víctimas depositan en los proveedores de servicios legales. La campaña se llama “NaurLegal” y se cree que los ataques fueron orquestados por el grupo de cibercrimen Narwhal Spider (también conocido como Storm-0302, TA544).
Los atacantes disfrazan archivos PDF maliciosos como facturas que parecen auténticas de firmas de abogados de buena reputación, una táctica destinada a atraer a víctimas en diversas industrias. La campaña NaurLegal finge legitimidad creando y enviando archivos PDF con nombres de archivo que parecen legítimos, como "Factura_[número]_de_[nombre del bufete de abogados].pdf". Esta estrategia aprovecha la expectativa de los destinatarios de recibir documentos legales de forma rutinaria en la vida empresarial cotidiana. Este enfoque aumenta la probabilidad de que los destinatarios abran los archivos infectados con malware.
Detalles técnicos del malware utilizado
La infraestructura de la campaña NaurLegal incluye dominios asociados con WikiLoader y cuya actividad de seguimiento sugiere asociación con esta familia de malware. WikiLoader es conocido por sus sofisticadas técnicas de ofuscación, como: B. comprobar las respuestas de Wikipedia en busca de cadenas específicas para evitar entornos sandbox. Narwhal Spider ha utilizado WikiLoader en el pasado, y la participación del grupo en esta campaña sugiere que se podrían implementar cargas útiles de malware destructivas adicionales en el futuro.
Los informes de Virus Total indican que IcedID podría ser una posible carga útil asociada con esta campaña. Además, la infraestructura C2 de esta campaña parece depender exclusivamente de sitios de WordPress comprometidos, una táctica bien conocida utilizada por Narwhal Spider. Dada la naturaleza sensible de los datos administrados por las organizaciones atacadas, que incluye propiedad intelectual, estrategias corporativas e información personal, hay mucho en juego en una intrusión exitosa.
Los actores de amenazas están ampliando su alcance
En el pasado, las campañas WikiLoader de Narwhal Spider se centraban principalmente en organizaciones italianas y distribuían malware a través de varios archivos adjuntos de correo electrónico, incluidos archivos de Microsoft Excel, OneNote y PDF. Sin embargo, la campaña NaurLegal marca un alejamiento de estos ataques centrados geográficamente y, en cambio, apunta a una gama más amplia de organizaciones que probablemente se ocupan de proyectos de ley. Este cambio de estrategia resalta la adaptabilidad de Narwhal Spider y sus esfuerzos por explotar diversas vulnerabilidades y tácticas de ingeniería social.
Los ataques a las cadenas de suministro y las relaciones con socios confiables continúan aumentando en todo el mundo, según muestra el Informe sobre el estado de la defensa de la cadena de suministro de 2023 de BlueVoyant. La expansión de las actividades de actores de amenazas como Narhwal Spider refuerza aún más esta tendencia.
Medidas de protección recomendadas
El uso de archivos PDF infectados con malware disfrazados de facturas de bufetes de abogados legítimos es un indicador clave de los ataques llevados a cabo como parte de esta campaña. Los equipos de seguridad deben estar alerta ante un volumen inusualmente alto de facturas en formato PDF, especialmente aquellas que provienen de fuentes externas y tienen el nombre "Factura_[número]_de_[nombre del bufete de abogados].pdf". El uso de soluciones modernas de seguridad de correo electrónico capaces de analizar archivos adjuntos PDF en busca de contenido malicioso puede ayudar a detectar y contener estas amenazas.
Además de comprobar los correos electrónicos entrantes, monitorear las conexiones de red también es un método importante para identificar dichos ataques. La campaña se basa en sitios web de WordPress comprometidos para las comunicaciones C2, y patrones de tráfico inusuales o picos en el tráfico hacia y desde sitios web de WordPress podrían indicar una posible infección.
Más información en bluevoyant.com
Acerca de BlueVoyant
BlueVoyant combina capacidades de ciberdefensa internas y externas en una solución de ciberseguridad basada en la nube y orientada a resultados que monitorea continuamente redes, puntos finales, superficies de ataque y cadenas de suministro, así como la red clara, profunda y oscura en busca de amenazas. Los productos y servicios integrales de ciberdefensa iluminan, investigan y remedian rápidamente las amenazas para proteger a las organizaciones.