Desde correos electrónicos de phishing hasta la destrucción de sistemas informáticos: ataques de Paper WereWolf

En los últimos días se ha reportado un aumento en la actividad del grupo Paper Werewolf (también conocido como GOFFEE), que ha estado activo desde 2022. Durante este tiempo, los ciberdelincuentes llevaron a cabo al menos siete ataques dirigidos a organizaciones de las áreas de gobierno, energía, finanzas, medios de comunicación y otras.

Para llevar a cabo ataques, los atacantes utilizan correos electrónicos de phishing con archivos adjuntos en formato Microsoft Word. Estos documentos contienen macros maliciosas que, cuando se activan, permiten a los usuarios decodificar contenido malicioso.

Los correos electrónicos de phishing suelen enviarse en nombre de organizaciones conocidas para generar confianza entre los destinatarios. Sin embargo, estas empresas no están involucradas en los ataques y sus nombres se utilizan para disfrazar intenciones criminales.

Paper Werewolf utiliza frecuentemente, el entorno PowerShell para ejecutar comandos, evitando así los mecanismos de seguridad estándar. También se observó el uso de frameworks post-explotación y malware propietario, lo que dificulta su detección y neutralización.

Entre los métodos de los atacantes se encuentra el uso de descargadores maliciosos que se hacen pasar por aplicaciones legítimas. Estos programas pueden descargar archivos maliciosos adicionales, desviando la atención de los usuarios hacia documentos falsos.

Uno de los ataques utilizó el módulo IIS de Owowa, que intercepta las credenciales durante la autorización en el servicio Outlook Web Access. Los datos se almacenan en la RAM y pueden eliminarse por orden de los atacantes.

Se utilizan scripts ocultos y entradas de registro para afianzarse en los sistemas comprometidos. Los canales de acceso de respaldo se proporcionan a través de herramientas como Chisel , que permite a los atacantes mantener la comunicación incluso cuando los métodos de comunicación principales están bloqueados.

Paper Werewolf utiliza una variedad de métodos para interrumpir los sistemas de las víctimas, incluida la eliminación de entradas de registro y el reinicio de servidores. También se han cambiado las contraseñas de las cuentas, lo que dificulta recuperar el control de la infraestructura.