Los propietarios de sitios web están siendo objeto de denuncias falsas de infracción de derechos de autor que utilizan Yandex Forms para distribuir el malware bancario IcedID.
Durante más de un año, los actores de amenazas rastreados como TA578 han estado realizando estos ataques en los que utilizan la página de contacto de un sitio web para enviar amenazas legales para convencer a los destinatarios de que descarguen un informe del material ofensivo.
Estos informes supuestamente contienen pruebas de ataques DDoS o material con derechos de autor utilizado sin permiso, pero en su lugar infectan el dispositivo de un objetivo con varios programas maliciosos, incluidos BazarLoader , BumbleBee e IcedID .
Cambiar a formularios de Yandex
Esta semana, BleepingComputer recibió una nueva versión de la amenaza de «infracción de derechos de autor» que fingía ser de Zoho, afirmando que estamos utilizando sus imágenes protegidas por derechos de autor.
«Hola,
su sitio web o un sitio web que aloja su organización está infringiendo imágenes con derechos de autor propiedad de nuestra empresa (zoho Inc.).
Consulte este informe con los enlaces a nuestras imágenes que utilizó en www.bleepingcomputer.com y nuestra publicación anterior para obtener la prueba de nuestros derechos de autor.
Descárguelo ahora y compruébelo usted mismo:
https://forms.yandex.com/u/62c3f14d59f1f7ef4295d2c1/success/?0=742998805032103091
Creo que ha infringido deliberadamente nuestros derechos bajo 17 USC Sección 101 et seq. y podría ser responsable por daños legales de hasta $130,000 como se establece en la Sección 504 (c) (2) de Digital
Ley de derechos de autor del milenio («DMCA») en el mismo.
Este mensaje es una notificación oficial. Busco la eliminación de los materiales infractores mencionados anteriormente. Tenga en cuenta que, como empresa, la DMCA le exige que elimine o cancele el acceso a los materiales protegidos por derechos de autor al recibir esta carta en particular. En caso de que no detenga el uso del contenido protegido por derechos de autor mencionado anteriormente, es probable que se inicie una acción judicial en su contra.
Creo firmemente que el uso de los materiales con derechos de autor descritos anteriormente como presuntamente infractores no está aprobado por el propietario legal de los derechos de autor, su agente legal o la ley.
Declaro, bajo consecuencia de perjurio, que la información contenida en este mensaje es correcta y por la presente afirmo que estoy autorizado para actuar en nombre del titular de un derecho exclusivo y legal que supuestamente se infringe.
Saludos cordiales,
Christian Brdakic
Oficial legal
zoho, Inc.
zoho.com
07/06/2022″
Sin embargo, lo que fue diferente con esta campaña es que en lugar de usar Google Drive o Google Sites para alojar sus supuestos «informes» como lo hicieron en el pasado, los actores de amenazas ahora usan Yandex Forms .
Yandex Forms es un servicio gratuito que permite a los usuarios crear formularios en línea personalizados, pero también puede ser utilizado por actores de amenazas para crear páginas de destino de phishing.
Cuando una persona hace clic en el enlace de forms.yandex.com en la queja de derechos de autor, se le lleva a una página web que dice: «El archivo ‘Evidencia de imágenes robadas’ está listo para descargar».
Después de un breve tiempo, el formulario de Yandex descargará un archivo ISO llamado ‘Stolen_ImagesEvidence.iso’ desde un enlace firebasestorage.googleapis.com incrustado en el formulario de Yandex.
Un archivo ISO es un formato de archivo de imagen de disco que se montará como una nueva letra de unidad cuando se abra en Windows 10 y Windows 11 para que pueda acceder a los archivos adjuntos.
Los archivos ISO se han convertido en un archivo adjunto popular en los ataques de phishing, ya que evitan la propagación de la Marca de la Web a los archivos contenidos, lo que hace que Windows no advierta que son peligrosos cuando intenta abrirlos.
Después de hacer doble clic en el archivo ISO, se abrirá una nueva letra de unidad que contiene lo que parece ser una carpeta de «documentos» y un archivo DLL con un nombre aleatorio, como se muestra a continuación.
Sin embargo, esta carpeta de documentos es en realidad un acceso directo de Windows que, al hacer doble clic, hará que se ejecute un archivo DLL malicioso mediante el comando rundll32.exe, como se muestra en las propiedades del acceso directo a continuación.
Esta DLL es un cargador para IcedID, un troyano bancario modular que puede robar credenciales de Windows e implementar cargas útiles adicionales para permitir el acceso inicial a las redes, como las balizas Cobalt Strike. Estas cargas útiles secundarias a menudo conducen a ataques de ransomware en toda regla en la red ahora vulnerada.
Como se ve en el envío del formulario de contacto, estas quejas de derechos de autor pueden ser bastante convincentes y utilizan amenazas de acción legal para crear urgencia en el mensaje. Desafortunadamente, esta urgencia comúnmente lleva a que las personas dejen de lado las precauciones y abran los archivos maliciosos.
Por lo tanto, es importante mantener siempre la calma al recibir correos electrónicos como estos y escanear archivos desconocidos o sospechosos con VirusTotal antes de abrirlos en su computadora.
Fuente: https://www.bleepingcomputer.com