El malware COLDRIVER es una amenaza cibernética que ha estado atacando a entidades de interés estratégico para Rusia, como organizaciones involucradas en asuntos internacionales, defensa, apoyo logístico a Ucrania, academia, empresas de seguridad informática y otras que se alinean con los intereses estatales rusos. Este malware tiene como objetivo robar las credenciales de los usuarios y evadir la detección de las soluciones de seguridad. En este artículo, te explicaremos cómo funciona este malware, cómo se propaga y cómo puedes protegerte de él.
El malware COLDRIVER es una herramienta de espionaje cibernético que pertenece a un actor de amenazas conocido como Star Blizzard (anteriormente SEABORGIUM), que está vinculado al Servicio Federal de Seguridad (FSB) de Rusia. También se le conoce con otros nombres, como Blue Callisto, BlueCharlie (o TAG-53), Calisto, Gossamer Bear y TA446.
Este actor de amenazas lleva activo desde al menos 2017 y se caracteriza por crear dominios falsos que imitan las páginas de inicio de sesión de las empresas objetivo. Estos dominios se usan para realizar campañas de phishing por correo electrónico que intentan engañar a los usuarios para que hagan clic en enlaces que los redirigen a servidores controlados por el atacante, donde se les pide que introduzcan sus credenciales.
El malware COLDRIVER se encarga de capturar las credenciales introducidas por los usuarios y enviarlas al atacante, que luego puede usarlas para acceder a las redes y los sistemas de las organizaciones comprometidas. Además, este malware tiene la capacidad de evadir la detección mediante el uso de técnicas sofisticadas, como scripts de JavaScript en el lado del servidor, servicios de marketing por correo electrónico, proveedores de DNS y verificación de CAPTCHA.
Te podrá interesar leer: Detecta si estás en un Sitio Web Pirateado
El actor de amenazas conocido como COLDRIVER continúa realizando actividades de robo de credenciales contra entidades de interés estratégico para Rusia, al mismo tiempo que ha mejorado sus habilidades para eludir la detección.
Microsoft Threat Intelligence ha identificado a este grupo como Star Blizzard, anteriormente conocido como SEABORGIUM. También se le conoce como Blue Callisto, BlueCharlie (o TAG-53), Calisto (alternativamente escrito Callisto), Gossamer Bear y TA446.
Este adversario persiste en sus ataques dirigidos a individuos y organizaciones involucradas en asuntos internacionales, defensa, apoyo logístico a Ucrania, así como a instituciones académicas, empresas de seguridad de la información y otras entidades alineadas con los intereses estatales rusos, según declaraciones de Redmond.
Star Blizzard, vinculado al Servicio Federal de Seguridad (FSB) de Rusia, tiene un historial de crear dominios falsos que simulan ser páginas de inicio de sesión de empresas específicas. Se tiene conocimiento de su actividad desde al menos 2017.
En agosto de 2023, Recorded Future identificó 94 nuevos dominios utilizados en la infraestructura de ataque de este actor, la mayoría de los cuales contenían palabras clave relacionadas con tecnología de la información y criptomonedas.
Microsoft también informó que el adversario ha comenzado a utilizar scripts del lado del servidor para evitar la detección automatizada de su infraestructura desde abril de 2023, abandonando hCaptcha como método para identificar objetivos de interés y redirigiendo las sesiones de navegación al servidor Evilginx.
El código JavaScript del lado del servidor está diseñado para verificar la presencia de complementos en el navegador, detectar el uso de herramientas de automatización como Selenium o PhantomJS, y transmitir los resultados al servidor a través de solicitudes HTTP POST.
"Después de recibir la solicitud POST, el servidor de redirección evalúa los datos recopilados del navegador y decide si permite la continuación de la redirección del navegador", explicó Microsoft.
"Una vez que se ha alcanzado un veredicto favorable, el navegador recibe una respuesta del servidor de redirección, que lo encamina hacia la siguiente etapa de la cadena. Esta siguiente etapa puede consistir en resolver un hCaptcha por parte del usuario o, en su lugar, ser redirigido directamente al servidor Evilginx".
Además, Star Blizzard ha incorporado recientemente servicios de marketing por correo electrónico como HubSpot y MailerLite en sus tácticas. Estos servicios se utilizan para lanzar campañas que actúan como el punto de inicio de la cadena de redireccionamiento que finalmente conduce al servidor Evilginx, donde se encuentra la página de recolección de credenciales.
También se ha notado que este actor de amenazas emplea un proveedor de servicios de nombres de dominio (DNS) para resolver la infraestructura de dominios registrados, enviando archivos PDF con contraseñas que contienen enlaces como señuelos. Esto les permite eludir los procesos de seguridad de correo electrónico y alojar los archivos en Proton Drive.
Además de estos cambios, Star Blizzard ha actualizado su algoritmo de generación de dominios (DGA) para incluir una lista más aleatoria de palabras al nombrarlos.
Sin embargo, Microsoft enfatiza que a pesar de estas modificaciones, las actividades principales de Star Blizzard siguen enfocadas en el robo de credenciales de correo electrónico, especialmente dirigidas a proveedores de correo electrónico basados en la nube que albergan cuentas de correo organizativas y personales. El grupo continúa utilizando pares de servidores virtuales privados (VPS) dedicados para alojar la infraestructura controlada por el actor, que incluye el servidor redireccionador y los servidores Evilginx, con cada servidor generalmente alojando un dominio registrado por separado por parte del actor.
Te podrá interesar leer: Ataques de Relleno de Credenciales: El Punto Débil
El Reino Unido y Estados Unidos han impuesto sanciones a dos miembros de Star Blizzard en medio de acusaciones de actividades cibernéticas maliciosas. Estos eventos surgieron después de que el Reino Unido denunciara a Star Blizzard por sus "persistentes y fallidos intentos de interferir en los procesos políticos del Reino Unido", señalando que el grupo había dirigido operaciones cibernéticas hacia figuras y entidades de alto perfil.
Además de asociar a Star Blizzard con el Centro 18, una subdivisión del Servicio Federal de Seguridad (FSB) ruso, el gobierno del Reino Unido impuso sanciones a dos miembros del grupo de hackers, Ruslan Aleksandrovich Peretyatko y Andrey Stanislavovich Korinets (también conocido como Alexey Doguzhiev), debido a su participación en campañas de phishing.
Estas actividades resultaron en la obtención no autorizada y la extracción de datos confidenciales, con el propósito de socavar tanto a organizaciones del Reino Unido como al gobierno del Reino Unido en general.
La alianza de inteligencia Five Eyes, compuesta por Australia, Canadá, Nueva Zelanda, el Reino Unido y Estados Unidos, destacó el patrón del actor de amenazas de suplantar identidades de contactos conocidos en correos electrónicos, crear perfiles ficticios en redes sociales y establecer dominios maliciosos que se asemejan a organizaciones legítimas.
Estos ataques de phishing implican una fase de investigación y preparación previa, en la cual se realiza un reconocimiento de los objetivos antes de acercarse a ellos a través de sus direcciones de correo electrónico personales, probablemente para evitar los controles de seguridad en las redes corporativas y ganar la confianza de las víctimas. Posteriormente, se entregan enlaces que imitan las páginas de inicio de sesión de servicios legítimos.
Te podrá interesar leer: Detección de Ataques de Phishing con Wazuh
Es importante destacar que Star Blizzard utiliza direcciones de remitentes de varios proveedores de correo electrónico gratuito, pero se enfatiza la atención especial a los correos electrónicos provenientes de cuentas de Proton (@proton.me, @protonmail.com), ya que este grupo los utiliza con frecuencia.
Las credenciales proporcionadas por las víctimas en estas páginas de inicio de sesión falsas se capturan y se utilizan para acceder a las cuentas de correo electrónico y archivos adjuntos de las víctimas, así como a su lista de contactos, que luego se emplea para llevar a cabo actividades de phishing a través de las cuentas comprometidas.
En una acusación reciente contra Peretyatko y Korinets, el Departamento de Justicia de Estados Unidos reveló que los acusados usaron cuentas de correo electrónico falsas para enviar mensajes que pretendían provenir de proveedores de correo electrónico, haciéndoles creer a los destinatarios que habían violado los términos de servicio. En realidad, estos mensajes estaban diseñados para engañar a las víctimas y hacer que proporcionaran las credenciales de sus cuentas de correo electrónico a través de solicitudes de inicio de sesión fraudulentas.
La Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos ha implicado al FSB en operaciones de piratería y filtración de datos a largo plazo con el objetivo de moldear narrativas en países objetivo y promover los intereses estratégicos de Rusia. Además, acusaron a Korinets de establecer al menos 39 dominios de recopilación de credenciales falsos para campañas de phishing entre 2016 y 2020.
Para protegerse del malware COLDRIVER, es importante seguir una serie de buenas prácticas de seguridad, tanto a nivel individual como organizacional. Algunas de estas prácticas son:
Siguiendo estas medidas, se puede reducir el riesgo de ser víctima del malware COLDRIVER y de otras amenazas cibernéticas que puedan poner en peligro la seguridad y la privacidad de las organizaciones y los usuarios.