¡Phishing con estilo! Los cibercriminales adjuntan GIFs de superhéroes al malware.

Redazione RHC : 18 septiembre 2025 09:47

Los analistas de F6 han publicado un estudio sobre una nueva campaña de phishing activa desde la primavera de 2025. El grupo, denominado ComicForm, envió correos electrónicos con archivos adjuntos maliciosos a empresas rusas, bielorrusas y kazajas de los sectores industrial, financiero, turístico, biotecnológico y otros.

El primer correo electrónico registrado con el asunto «Informe de verificación de firma» se envió el 3 de junio de 2025. El archivo adjunto contenía un archivo ejecutable que inició una cadena de infección de varias etapas.

Durante la activación, se descargaron un cargador .NET ofuscado, el módulo MechMatrix Pro.dll y el dropper Montero.dll. Este último permaneció en el sistema, se agregó a las excepciones de Windows Defender, inyectó la carga útil en los procesos y lanzó el software espía FormBook.

Un descubrimiento curioso fue la presencia de animaciones GIF de superhéroes de Tumblr y Giphy incrustadas en el código del malware. Estas no se utilizaron en el ataque, pero fueron… Es precisamente esta «estética» la que les valió a los atacantes el apodo. ComicForm.

La característica principal de los correos electrónicos era la dirección de retorno rivet_kz@…, registrada en un servicio de correo electrónico gratuito. Los correos provenían de los dominios .ru, .by y .kz, contenían asuntos relacionados con facturas, contratos y documentos bancarios, e iban acompañados de archivos con archivos infectados. En algunos casos, provenían de las direcciones IP 185.130.251[.]14, 185.246.210[.]198 y 37.22.64[.]155. Uno de los correos electrónicos se envió a una dirección de correo electrónico corporativa de Beeline Kazakhstan.

Posteriormente, el 25 de julio, F6 detectó una nueva oleada de correos electrónicos enviados en nombre de una empresa kazaja. Los correos contenían un enlace de «Confirmar contraseña» que conducía a una página de inicio de sesión falsa. La información de inicio de sesión de la víctima se envió a un recurso de terceros, y el código de la página insertó automáticamente la dirección de correo electrónico del usuario y añadió una captura de pantalla del sitio web de la empresa para aumentar la credibilidad.

Un análisis de la infraestructura reveló el uso de una amplia gama de dominios en las áreas .ru, .kz, .vn, .id, .ng, .glitch.me y otras. Algunos recursos se vieron comprometidos. Los expertos encontraron similitudes con un ataque de abril de 2025 contra un banco bielorruso, que utilizó técnicas y servicios similares para robar datos a través de la plataforma Formspark.

ComicForm permanece activo desde septiembre de 2025, utilizando tanto la infraestructura antigua como los nuevos dominios. Sin embargo, la dirección rivet_kz@….ru ya no aparece en las listas de correo recientes. El análisis gráfico reveló una red en expansión de recursos utilizados por los atacantes.

F6 concluyó que ComicForm ha estado activo desde al menos abril de 2025, atacando a organizaciones de diversos países e industrias. El grupo combina el envío de correos electrónicos a través de FormBook con la creación de páginas de phishing que suplantan servicios corporativos.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli