Un nuevo método de engaño por parte de operadores de malware está aprovechando los reclamos de derechos de autor como herramienta para inducir a las víctimas a instalar software malicioso. Según un informe de los investigadores de Cisco Talos, actualmente se está llevando a cabo una campaña de ataque en Taiwán a través de correos electrónicos de phishing, dirigidos principalmente a empresas y compañías de publicidad, en los que se incluyen archivos adjuntos con malware.
Estos correos electrónicos pretenden ser avisos legales provenientes de un supuesto titular de derechos de autor o del representante legal de una empresa. El mensaje informa de un reclamo de infracción y contiene un archivo adjunto que aparenta ser un PDF con detalles sobre la denuncia. Sin embargo, al descargar el archivo, el usuario se encuentra con un ejecutable que activa la cadena de infección de malware. Los atacantes aprovechan esta apariencia legal para captar la atención de las víctimas y así facilitar la descarga del malware.
Cisco Talos destaca que los nombres de archivo del PDF falso suelen imitar documentos legales de departamentos jurídicos de empresas, para dar mayor verosimilitud al correo. Joey Chen, investigador de Cisco Talos, señala que los nombres en estos archivos falsos utilizan denominaciones de conocidas empresas tecnológicas y de medios de Taiwán y Hong Kong, sugiriendo que los atacantes han llevado a cabo una investigación previa sobre sus objetivos antes de lanzar el ataque.
Cuando la víctima abre el archivo adjunto, este archivo pasa por una serie de redireccionamientos que inician en un dominio de Google Appspot.com, luego a través de un servicio de acortamiento de URL de terceros y, finalmente, llega a un dominio de Dropbox. En este último punto, el malware real, que en muchos casos es de tipo «info-stealer» (ladrón de información), se instala en el sistema de la víctima, enfocándose en robar credenciales de cuentas y otros datos personales. El malware identificado en estos ataques corresponde a las variantes LummaC2 o Rhadamanthys, programas maliciosos disponibles en mercados de la web oscura y que facilitan el robo de información.
La cadena de infección comienza con un enlace de descarga maliciosa que solicita la descarga de un archivo comprimido en formato RAR, el cual requiere una contraseña para extraer su contenido. Al introducir la contraseña, el archivo se descomprime, revelando un PDF falso que en realidad es un ejecutable de malware, junto con un archivo de imagen de impresión para añadir autenticidad.
Atribuir este ataque a un grupo específico es complejo debido a las técnicas de evasión y de ofuscación que emplean los atacantes. En una de las investigaciones, al rastrear los metadatos de un archivo EPS (archivo de imagen vectorial) utilizado en el ataque, se encontró una imagen idéntica en un sitio web en idioma vietnamita. Sin embargo, no existe evidencia suficiente para concluir que el ataque fue desarrollado o dirigido desde esa región.