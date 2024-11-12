En julio de 2024, X-Force observó un cambio a mitad de campaña en los correos electrónicos distribuidos por Hive0145, con los mensajes cortos y genéricos reemplazados por lo que parecían ser correos electrónicos legítimos robados. Los correos electrónicos de phishing coincidían exactamente con los correos electrónicos oficiales de comunicación de facturas y, en algunos casos, seguían dirigiéndose directamente a los destinatarios originales por su nombre. X-Force pudo verificar que los correos electrónicos eran en realidad notificaciones de facturas auténticas procedentes de diversas entidades de los sectores financiero, tecnológico, manufacturero, de los medios de comunicación, del comercio electrónico y otros sectores. Es probable que el grupo obtuviera los correos electrónicos a través de credenciales previamente exfiltradas de sus campañas anteriores.

El concepto de utilizar correos electrónicos robados no es nuevo, fue utilizado ampliamente por el grupo Emotet y distribuidores de malware como Hive0118 (también conocido como TA577), TA551 y TA570. En sus campañas, aprovecharon el secuestro de hilos, en el que se utilizaban nuevos hilos de correos electrónicos robados como forma de aumentar la apariencia de legitimidad. Los correos electrónicos modificados se enviaron a los contactos correspondientes de las víctimas anteriores, haciendo que el correo electrónico final pareciera una respuesta al correo electrónico robado, secuestrando así el hilo del correo electrónico. El texto que los distribuidores añaden a los correos electrónicos suele consistir en respuestas breves en las que instan a las víctimas a consultar los archivos adjuntos o las direcciones URL incluidos.

La técnica empleada por Hive0145 difiere del secuestro de hilos en que, en lugar de agregar un mensaje de respuesta al correo electrónico robado, el contenido original permanece en gran medida sin modificar y solo el archivo adjunto se cambia para incluir una carga maliciosa utilizando el nombre de archivo original (sin la extensión original). Dentro del cuerpo del correo electrónico, Hive0145 también reemplaza tanto la parte local como el dominio del remitente del correo electrónico original con la de la nueva víctima de phishing para personalizar el correo electrónico. A continuación, los correos electrónicos con archivos adjuntos secuestrados se envían en campañas masivas de phishing. Hive0145 también parece considerar detenidamente los correos electrónicos secuestrados y solo selecciona los que hacen referencia a las facturas y contienen archivos adjuntos. X-Force ha observado la técnica de secuestro de archivos adjuntos desde mediados de 2024 en campañas dirigidas a personas de habla alemana, española y ucraniana.