Tag: malware

Esta nueva estrategia de phishing utiliza comentarios de GitHub para distribuir malware

Post author By lisa nichols
Post date November 9, 2024
No Comments on Esta nueva estrategia de phishing utiliza comentarios de GitHub para distribuir malware

[ad_1]

Los repositorios de Github están infectados con malware
Los repositorios confiables pueden eludir las puertas de enlace web seguras
Los comentarios de Github también se utilizan para ocultar archivos maliciosos.

En una nueva campaña de phishing descubierta por Cofense Intelligence, los actores de amenazas utilizaron un enfoque novedoso al aprovechar repositorios confiables de GitHub para distribuir malware. La campaña tiene como objetivo explotar la confianza inherente que muchas organizaciones depositan en GitHub como plataforma para desarrolladores.

En lugar de crear repositorios maliciosos, los atacantes optaron por incrustar el malware en repositorios legítimos. impuesto Organizaciones como UsTaxes, HMRC e Inland Revenue.

Esto les permitió eludir las protecciones de Secure Email Gateway (SEG), lo que plantea un desafío importante para las defensas de ciberseguridad. El ataque también aprovechó el sentido de urgencia asociado con la presentación de impuestos después de la fecha límite de abril en Estados Unidos.

Táctica de phishing: abuso de repositorios confiables

Los correos electrónicos relacionados con la campaña contienen enlaces a archivos alojados en GitHub. A diferencia de los ataques de phishing tradicionales que se basan en enlaces o archivos adjuntos sospechosos, estos correos electrónicos parecían creíbles porque los repositorios de GitHub utilizados eran legítimos, conocidos y podían ser falsificados. Portales web seguros.

Los archivos asociados con los correos electrónicos estaban protegidos con contraseña, una táctica utilizada para crear un aire de legitimidad. Esta protección también dificultaba que los escáneres de malware detectaran y escanearan el contenido del archivo. Una vez abiertos, los archivos protegidos con contraseña instalan el troyano de acceso remoto (RAT) Remcos en el sistema de la víctima, dando a los atacantes control remoto de la máquina infectada.

Un elemento clave de esta campaña fue el uso de comentarios de GitHub para cargar archivos maliciosos. Los desarrolladores suelen utilizar los comentarios de GitHub para comunicarse sobre el contenido del repositorio o sugerir cambios o problemas de documentación. Sin embargo, los atacantes aprovecharon esta característica cargando archivos cargados de malware en los comentarios en lugar del código fuente del repositorio, lo que les permitió eludir los protocolos de seguridad habituales y garantizar que el malware permaneciera oculto.

Incluso si se elimina el comentario original que contiene el enlace del malware, el malware permanece accesible a través del directorio de archivos del repositorio. Este método se ha utilizado antes, sobre todo con el malware Redline Stealer, pero esta campaña representa una escalada significativa en el uso de comentarios de GitHub como medio para distribuir malware.

La campaña se dirigió principalmente a los sectores financiero y de seguros, ya que ambos sectores son particularmente vulnerables durante la temporada de impuestos, ya que manejan un gran volumen de datos financieros confidenciales.

Parece que los atacantes estaban tanteando el terreno con una campaña más pequeña centrada en estas dos industrias. Las campañas de phishing anteriores que utilizaban técnicas como códigos QR tenían objetivos más amplios, pero el enfoque más limitado de este ataque sugiere que los actores de amenazas estaban experimentando con el método basado en GitHub antes de expandirse.

Las campañas de phishing siguen siendo uno de los métodos más persistentes y eficaces utilizados por los ciberdelincuentes para obtener acceso no autorizado a información confidencial.

Estos ataques suelen implicar suplantación de identidad. Correos electrónicos O mensajes que engañan a los usuarios para que hagan clic en enlaces maliciosos, descarguen archivos adjuntos maliciosos o revelen detalles personales.

Con el paso de los años, las técnicas de phishing han evolucionado, volviéndose más sofisticadas y difíciles de detectar. Los ciberdelincuentes ahora aprovechan las plataformas confiables, ocultan intenciones maliciosas detrás de mensajes aparentemente legítimos y utilizan técnicas avanzadas de ingeniería social.

También te puede gustar

[ad_2]

Source Article Link

Tags Comentarios, distribuir, está, estrategia, GitHub, malware, nueva, para, Phishing, utiliza

Featured

Este nuevo malware utiliza un lenguaje de programación poco común para evadir los métodos de detección tradicionales.

Post author By lisa nichols
Post date November 9, 2024
No Comments on Este nuevo malware utiliza un lenguaje de programación poco común para evadir los métodos de detección tradicionales.

[ad_1]

Un nuevo cargador de malware personalizado escrito en JPHP está causando estragos
La carga útil personalizada es difícil de detectar utilizando herramientas de ciberseguridad
El cargador de malware puede implementar cargas útiles personalizadas según sea necesario

Trustwave SpiderLabs dice que ha hecho precisamente eso Revelado recientemente nueva forma de malware Conocido como Pronsis Loader, ya está causando problemas debido a su diseño y tácticas únicos.

Pronsis Loader utiliza JPHP, un lenguaje de programación menos conocido que rara vez utilizan los ciberdelincuentes, y también utiliza técnicas de instalación avanzadas, lo que dificulta la detección y mitigación de los sistemas de ciberseguridad.

JPHP, una variante del popular lenguaje PHP, rara vez se ve en el mundo del desarrollo de malware. Aunque PHP se usa comúnmente para aplicaciones web, su incorporación al desarrollo de malware de escritorio es inusual, lo que le da a Pronsis Loader la ventaja de evitar la detección.

JPHP: una opción poco común en el ciberdelito

Pronsis Loader puede evitar los sistemas de detección basados en firmas, que normalmente están diseñados para identificar los lenguajes de programación más comunes en el malware. JPHP le da al malware una capa de “sigilo” que le permite pasar desapercibido para muchas herramientas de seguridad.

El malware también utiliza ofuscación y Cifrado Formas de ocultar su presencia durante la etapa inicial de infección. Cuando se implementa, utiliza métodos sofisticados para evitar provocar ataques convencionales. antivirus Software y Protección de terminales Sistemas. El cargador primero se instala silenciosamente en el sistema, enmascarando sus actividades imitando procesos o aplicaciones legítimos, lo que dificulta la detección por parte de las herramientas de seguridad automatizadas y los analistas humanos.

Una vez instalado, Pronsis Loader puede descargar y ejecutar malware adicional, incluido… ransomwareO software espía o herramientas de minería de datos. Este enfoque modular hace que el malware sea muy flexible, lo que permite a los atacantes personalizar la carga útil final según el sistema o entorno de destino. Pronsis Loader es parte de una tendencia creciente en el desarrollo de malware en la que los atacantes utilizan cargadores como primer paso en ataques de varias etapas. Estos gestores de arranque, diseñados para introducir otro malware en el sistema, brindan flexibilidad a los atacantes.

Para combatir estas amenazas en evolución, los equipos de seguridad deben adoptar métodos de monitoreo y análisis más avanzados, como la detección basada en el comportamiento, que puede identificar el malware por sus acciones en lugar de solo por sus firmas de código. Además, las actualizaciones continuas de la inteligencia sobre amenazas pueden ayudar a identificar el uso de lenguajes y métodos raros como los utilizados en Pronsis Loader.

“Pronsis Loader representa un cambio significativo en la forma en que los ciberdelincuentes implementan malware, utilizando JPHP e instalaciones silenciosas para evadir los métodos de detección tradicionales”, dijo Sean Canady, Director Global, “Pronsis Loader representa un cambio marcado en la forma en que los ciberdelincuentes implementan malware, utilizando JPHP e instalaciones silenciosas para evadir los métodos de detección tradicionales. Su capacidad para entregar cargas útiles de alto riesgo como Lumma Stealer y Latrodectus lo hace particularmente peligroso”. De Trustwave SpiderLabs.

“Nuestra investigación revela no sólo las capacidades únicas del malware, sino también la infraestructura que se puede aprovechar en futuras campañas para brindar a los equipos de seguridad la oportunidad de fortalecer sus defensas”, agregó Canady.

También te puede gustar

[ad_2]

Source Article Link

Tags común, detección, este, evadir, lenguaje, Los, malware, métodos, nuevo, para, POCO, programación, tradicionales, utiliza

Featured

Peligroso malware bancario para Android busca estafar a las víctimas con transferencias de dinero falsas

Post author By lisa nichols
Post date November 6, 2024
No Comments on Peligroso malware bancario para Android busca estafar a las víctimas con transferencias de dinero falsas

[ad_1]

ToxicPanda puede iniciar transferencias de dinero e incluso obtener códigos MFA
El troyano bancario se dirige a consumidores de Europa y América Latina
Más de 1.500 dispositivos ya han sido hackeados

Un hacker chino está apuntando a dispositivos Android en Europa y América Latina con… Troyano bancario Capaz de robar dinero de las cuentas de las víctimas.

Un nuevo informe de los investigadores de ciberseguridad Cleafy dice que el troyano ToxicPanda es muy similar a un conocido malware más antiguo llamado TgToxic, que se descubrió por primera vez en 2023. Existen algunas similitudes entre los dos, aunque se puede describir como … ToxicPanda lo llama una versión “ligera”, ya que muchas funciones parecen haber sido eliminadas y algunas se dejaron como simples marcadores de posición.

Aunque más ligero, ToxicPanda sigue siendo un malware capaz. Puede iniciar transferencias de dinero, interceptar contraseñas de un solo uso (OTP) generadas a través de SMS o aplicaciones de autenticación y procesar entradas de usuarios. También puede robar información confidencial del dispositivo comprometido y capturar datos de otras aplicaciones. Sin embargo, para hacer todo eso, se debe otorgar permiso a la aplicación para acceder a los servicios de accesibilidad de Android, lo cual es una señal de alerta habitual. AndroideMalware transmitido.

Una campaña de años

Sin embargo, el malware suele estar oculto en aplicaciones falsas de Chrome, Visa o 99 Speedmart, que probablemente se distribuyen a través de sitios web de terceros, canales de redes sociales y posiblemente phishing. Las aplicaciones maliciosas no se pueden encontrar en los repositorios de aplicaciones oficiales (Tienda Google Play, Samsung's App Store, o similar), y los investigadores todavía están especulando sobre cómo se anuncian las aplicaciones en la web.

Hasta ahora, el actor de amenazas parece haber infectado más de 1.500 dispositivos Android. La mayoría se encuentran en Italia (56,8%) y Portugal (18,7%), destacando Hong Kong (4,6%), España (3,9%) y Perú (3,4%). Los investigadores descubrieron esta información accediendo al panel de Comando y Control (C2) de ToxicPanda.

Los mecanismos de defensa contra este tipo de ataques siguen siendo los mismos: asegúrese de descargar aplicaciones únicamente de fuentes verificadas.

a través de Noticias de piratas informáticos

También te puede gustar

[ad_2]

Source Article Link

Tags Android, bancario, busca, Con, dinero, estafar, falsas, Las, malware, para, peligroso, transferencias, víctimas

Featured

Se han publicado en línea cientos de paquetes npm falsos cargados con malware para intentar engañar a los desarrolladores

[ad_1]

Los delincuentes agregan cientos de paquetes maliciosos a npm
Los paquetes intentan llevar la carga útil de la segunda etapa a los dispositivos infectados.
Los estafadores han hecho todo lo posible para ocultar dónde alojan el malware

Los desarrolladores de software, especialmente aquellos que trabajan en el espacio de las criptomonedas, se enfrentan una vez más a un ataque a la cadena de suministro cruzada. Código abierto Repositorios de código.

Los investigadores de ciberseguridad de Phylum advirtieron que un actor de amenazas ha subido cientos de paquetes maliciosos al repositorio de paquetes de código abierto npm. Los paquetes son versiones preimpresas de Puppeteer y Bignum.js. Los desarrolladores que necesitan estos paquetes para sus productos pueden terminar descargando accidentalmente la versión incorrecta, ya que todos vienen con nombres similares.

Si se usa, el paquete se conectará a un servidor oculto, recuperará la carga maliciosa de segunda etapa e infectará las computadoras de los desarrolladores. “El binario enviado al dispositivo es un Vercel empaquetado”, explicaron los investigadores.

Ocultar dirección IP

Además, los atacantes querían hacer algo más mientras instalaban el paquete, pero como el archivo no estaba incluido en el paquete, los investigadores no pudieron analizarlo. Dicen: “Supervisión clara por parte del autor del paquete malicioso”.

Lo que hace que esta campaña se destaque de otras campañas similares de la cadena de suministro es hasta dónde llegaron los estafadores para ocultar los servidores que controlan.

“Por necesidad, malware “Los autores deberían haber buscado formas más novedosas de ocultar la intención y ofuscar los servidores remotos bajo su control”, dijeron los investigadores. “Esto es, una vez más, un recordatorio continuo de que los ataques a la cadena de suministro siguen vivos y coleando”.

La IP no se puede ver en el código de la primera fase. En cambio, el código accederá primero al contrato inteligente de Ethereum, donde se almacena la dirección IP. Esto terminó siendo un arma de doble filo, ya que la cadena de bloques es permanente e inmutable y, por lo tanto, permitió a los investigadores monitorear todas las direcciones IP que los estafadores habían utilizado alguna vez.

Dado que los objetivos son desarrolladores de criptomonedas, lo más probable es que el objetivo fuera robar sus frases iniciales y obtener acceso a sus billeteras.

Los desarrolladores de software, especialmente aquellos que trabajan en el campo Web3, suelen ser objetivos de este tipo de ataques. Por lo tanto, es esencial verificar dos veces los nombres de todos los paquetes descargados.

a través de Ars Técnica

También te puede gustar

[ad_2]

Source Article Link

Tags cargados, cientos, Con, desarrolladores, engañar, falsos, han, intentar, línea, Los, malware, npm, paquetes, para, Publicado

Featured

Este malware Ghostpulse se esconde en archivos de imagen PNG

Post author By lisa nichols
Post date October 22, 2024
No Comments on Este malware Ghostpulse se esconde en archivos de imagen PNG

[ad_1]

Investigadores de ciberseguridad de Elastic Security han descubierto una nueva versión del famoso software Ghostpulse malware Escondido en los píxeles de un archivo .PNG.

En su artículo técnico, los investigadores explican que los operadores de malware continúan mostrando niveles sorprendentes de creatividad y conocimiento, mientras encuentran nuevas formas de distribuir malware y ocultarlo… antivirus Programas y Protección de terminales Soluciones.

Se dijo que la medida representaba un cambio importante con respecto a la técnica de ofuscación anterior de Ghostpulse, que implicaba el uso indebido de la parte IDAT de los archivos PNG para ocultar cargas útiles maliciosas.

Leer archivos PNG

Para infectar a una víctima con malware, los estafadores primero utilizan la ingeniería social para engañar a la víctima para que visite un sitio web controlado por el atacante. Allí, al visitante se le presentará lo que parece ser su CAPTCHA estándar. Sin embargo, en lugar de encontrar imágenes de un perro o una boca de incendios, se solicita a los visitantes que presionen un atajo de teclado específico, que copia un fragmento de código JavaScript malicioso en el portapapeles.

Este código ejecuta un script de PowerShell que descarga y ejecuta la carga útil de Ghostpulse.

La carga útil es un archivo único: un “archivo ejecutable intacto pero vulnerable” que incluye un archivo PNG en su sección de recursos. El malware funciona mirando píxeles específicos y leyendo sus colores para recopilar información oculta en su interior. Los colores se dividen en pequeños fragmentos de datos, que luego se examinan mediante una especie de “prueba matemática” para ver si contienen instrucciones de malware ocultas.

Si pasan la prueba, el malware recopila la información, utiliza XOR para abrir y utiliza las instrucciones ocultas, infectando finalmente el punto final.

Ghostpulse se utiliza habitualmente como cargador y propaga malware más peligroso en sistemas comprometidos. Elastic Security ha descubierto que los estafadores lo utilizan con mayor frecuencia para implementar Lumma infostealer.

a través de Registro

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags archivos, esconde, este, Ghostpulse, Imagen, malware, PNG

Life Style

Mejor software de protección contra malware 2024 (Reino Unido)

Post author By lisa nichols
Post date October 16, 2024
No Comments on Mejor software de protección contra malware 2024 (Reino Unido)

[ad_1]

Este contenido apareció originalmente en Mashable para una audiencia de EE. UU. y ha sido editado para una audiencia del Reino Unido.

¿Qué tan seguro estás en Internet? Es fácil descartar el cibercrimen como algo que les sucede a otras personas, pero es más común de lo que piensas. Los ciberdelincuentes son cada vez más creativos en sus intentos de piratear sus datos, robar su información o espiarlo en casa. El mundo en línea puede ser un lugar riesgoso.

Afortunadamente, existen muchos programas que pueden detectar, prevenir y disuadir este tipo de amenazas. El problema, como suele ocurrir con estas cosas, es la elección. El programa correcto para ti. Por ejemplo, ¿solo busca proteger su computadora o también quiere algo para ella? Dispositivos móviles ¿Y las tabletas?

También hay otros puntos a considerar. ¿Necesita capas adicionales de seguridad como protección de cámara web, cifrado de datos, administradores de contraseñas, controles parentales y VPN privadas? Afortunadamente, estamos aquí para guiarlo hacia la protección contra malware adecuada para usted. Aquí encontrará información útil para empezar.

¿Qué es el malware?

El nombre del malware es la abreviatura de “software malicioso”. Esto significa software o software que está diseñado específicamente para dañar su computadora. El malware puede infectar, dañar o apagar computadoras, sistemas, redes, tabletas y otros dispositivos móviles. El malware más famoso es el virus informático. El malware suele funcionar controlando las operaciones de cualquier dispositivo en particular. A veces esto se hace para estafarle y quitarle dinero, o incluso a veces simplemente por el gusto de hacerlo.

¿Cómo se puede detectar malware?

Es una buena idea estar personalmente atento a los ataques de malware. Si no sabe mucho sobre cómo funciona y qué debe buscar, le recomendamos encarecidamente que investigue un poco sobre el tema. Un buen consejo incluye monitorear los correos electrónicos de “phishing”: correos electrónicos que incluyen enlaces sospechosos o solicitan información personal.

¿Cómo funciona la protección contra malware?

Estar alerta sólo te llevará hasta cierto punto. La protección confiable contra malware es la única opción para una cobertura completa. Una buena protección analiza sus descargas, analiza su computadora periódicamente y se actualiza para protegerse contra amenazas en constante evolución. También le advierte sobre sitios web sospechosos antes de que los visite y lo protege de intentos de phishing (es decir, sitios web que desean que ingrese información personal como contraseñas o detalles de cuenta). Un buen software antimalware también protege los pagos en línea y protege su dinero en línea.

¿Cuántos dispositivos están cubiertos por la protección contra malware?

Depende del nivel (o más francamente, del precio) al que te hayas suscrito. La protección básica solo cubrirá un dispositivo, mientras que las versiones más avanzadas pueden cubrir tres, cinco o más dispositivos. Esto también significa una variedad de dispositivos, desde computadoras portátiles y PC hasta teléfonos y tabletas.

¿Puedes probar la protección contra malware de forma gratuita?

La mayoría de los productos de protección contra malware ofrecerán una prueba gratuita antes de realizar la compra. Esto es importante porque cada tipo de protección tiene su propia forma de funcionar con su computadora, y algunas se adaptarán mejor a usted y a su uso en línea que otras.

¿Puede obtener protección contra malware para Windows y Mac?

Sí, claro. Tendemos a pensar que los Mac son resistentes a los virus, pero eso no es cierto. No importa qué tipo de computadora uses, hay algún tipo de malware listo para atacar. El antivirus integrado de Windows es mejor que nunca, pero no se confíe. Protección contra malware para cualquier La computadora es importante.

¿Cuál es la mejor protección contra malware?

Es difícil elegir con tantas opciones disponibles. Agregue a esto el hecho de que comprar software puede parecer como navegar una carrera de obstáculos de especificaciones y jerga técnica. Es difícil saber exactamente qué buscar. Pero hemos hecho el trabajo duro por usted y hemos reunido algunas de las mejores opciones. Simplemente sigue leyendo y decide qué opción es mejor para ti y tus dispositivos.

Este es el mejor software de protección contra malware en 2024.

[ad_2]

Source Article Link

Tags contra, malware, mejor, protección, Reino, Software, Unido

Featured

La vulnerabilidad de Veeam fue aprovechada para propagar malware a través de credenciales de VPN comprometidas

Post author By lisa nichols
Post date October 14, 2024
No Comments on La vulnerabilidad de Veeam fue aprovechada para propagar malware a través de credenciales de VPN comprometidas

[ad_1]

Los piratas informáticos están explotando una vulnerabilidad en un producto de Veeam para intentar difundirlo ransomware contra sus objetivos.

Esto es según los investigadores de ciberseguridad de Sophos, quienes detallaron sus hallazgos. Intercambio de seguridad de la información A finales de la semana pasada. Según los investigadores, los estafadores utilizan una combinación de credenciales comprometidas y uso indebido de vulnerabilidades para difundir el ransomware Fog y Akira.

En primer lugar, perseguirán las puertas de enlace VPN que tengan contraseñas incorrectas y no tengan autenticación multifactor (Ministerio de Asuntos Exteriores) prueba. Algunos de estos VPN Se decía que estaban ejecutando versiones de software no compatibles. A continuación, explotaron una vulnerabilidad en Veeam Backup & Replication, rastreada como CVE-2024-40711, que les permitió crear una cuenta local.

Akira y la niebla

CVE-2024-40711 Es una vulnerabilidad crítica que permite la ejecución remota de código (RCE) no autenticado al deserializar datos que no son de confianza. Al enviar una carga útil maliciosa a la aplicación, los actores de amenazas pueden tener la capacidad de ejecutar código arbitrario, sin autenticación. Tiene una calificación de gravedad de 9,8 (crítica). Veeam lanzó una solución para este error en la versión 12.2 (compilación 12.2.0.334), que se lanzó en septiembre de este año. La vulnerabilidad afectó a versiones anteriores de VBR, especialmente a la versión 12.1.2.172 y anteriores.

Se ha recomendado a los administradores que actualicen a la última versión para mitigar el riesgo de explotación.

Después de crear una cuenta local, los estafadores intentarán difundir el ransomware Fog o Akira. En total, los investigadores de Sophos han observado hasta el momento cuatro intentos de ataque.

“Estos casos subrayan la importancia de parchear las vulnerabilidades conocidas, actualizar/reemplazar las VPN no compatibles y utilizar la autenticación multifactor para controlar el acceso remoto. Sophos X-Ops continúa rastreando el comportamiento de estas amenazas.

Aunque solo se registraron unos pocos intentos de ataque, la noticia fue lo suficientemente significativa como para justificar una consulta por parte del NHS de Inglaterra. Como se informó Noticias de piratas informáticosEl consejo enfatizaba que las aplicaciones empresariales de respaldo y recuperación ante desastres eran “objetivos valiosos” para los ciberdelincuentes en todas partes.

a través de Noticias de piratas informáticos

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags aprovechada, comprometidas, credenciales, fue, malware, para, propagar, través, Veeam, VPN, vulnerabilidad

Featured

Sistemas gubernamentales europeos bajo ataque de malware air gap

Post author By lisa nichols
Post date October 9, 2024
No Comments on Sistemas gubernamentales europeos bajo ataque de malware air gap

[ad_1]

Los expertos han advertido que los piratas informáticos han logrado robar información confidencial de sistemas cerrados pertenecientes a varios gobiernos europeos al menos en tres ocasiones distintas.

Nuevo informe de ESET. Explicó cómo el actor de amenazas, llamado GoldenJackal, es un sofisticado grupo de ciberespionaje conocido por atacar a gobiernos del sur de Asia y Europa durante los últimos cinco años.

Los sistemas de espacio de aire parecen ser su especialidad interna, apuntándolos con unidades USB. La afiliación de GoldenJackal aún no está clara, pero se sospecha que es un grupo patrocinado por el estado, probablemente de Europa del Este o Asia. Un sistema de antena es una computadora o dispositivo de red que está físicamente aislado de redes no seguras, como Internet, para evitar el acceso no autorizado y mejorar la seguridad. Sin embargo, los estafadores pudieron robar datos de estos puntos finales mediante la autoimplementación. malware.

chacal dorado

De acuerdo a pitidocomputadoraHasta ahora, se ha observado que GoldenJackal atacó la embajada de un país del sur de Asia en Bielorrusia en dos ocasiones: una en septiembre de 2019 y otra en julio de 2021. También se observó que perseguía a una organización gubernamental europea entre mayo de 2022 y marzo de 2024.

El ataque comienza con una unidad USB infectada con malware. Vale la pena señalar que el grupo ha creado múltiples variantes para diferentes víctimas, lo que, para los expertos de ESET, es un testimonio del ingenio del grupo. En algunos casos se utilizó un malware llamado GoldenDealer y en otros, GoldenAce.

Este malware tiene la tarea de copiarse a sí mismo, junto con otro malware, en dispositivos sellados al aire, una vez que se conecta una unidad USB. Otro malware incluye una puerta trasera llamada GoldenHowl y una herramienta de robo de información llamada GoldenRobo (o GoldenUsbCopy y GoldenUsbGo, respectivamente). . La tarea de este último es copiar documentos, imágenes, claves de cifrado, archivos de configuración de OpenVPN y otros datos importantes a un directorio oculto en una unidad USB.

Luego, cuando vuelves a conectar la unidad USB a un dispositivo conectado a Internet, el malware envía todo lo que robó al servidor C2.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags Air, ataque, bajo, europeos, Gap, gubernamentales, malware, sistemas

Featured

El malware persistente WordDrone aprovecha la descarga de DLL para comprometer la industria de drones de Taiwán

Post author By lisa nichols
Post date October 5, 2024
No Comments on El malware persistente WordDrone aprovecha la descarga de DLL para comprometer la industria de drones de Taiwán

[ad_1]

Una investigación reciente realizada por la Unidad de Investigación de Amenazas (TRU) de Acronis reveló un ataque sofisticado que utilizaba una versión obsoleta de microsoft Word sirve como conducto para instalar una puerta trasera persistente en sistemas infectados.

WordDrone se centra en empresas de Taiwán, especialmente aquellas de la industria de fabricación de drones. La investigación reveló que el malware se instaló en sistemas de empresas que operan en la creciente industria de drones de Taiwán, que ha experimentado una importante inversión gubernamental desde 2022.

La ubicación estratégica de Taiwán tanto en el sector tecnológico como en el militar probablemente convirtió a estas organizaciones en objetivos atractivos para el espionaje o los ataques a la cadena de suministro.

Debilidades en Microsoft Word

Los atacantes utilizan una técnica conocida como carga lateral de DLL para la instalación. malware A través de una versión pirateada de Microsoft Word 2010. Instala tres archivos principales en el sistema de destino que son una copia legítima de Winword (Microsoft Word), un archivo wwlib.dll creado con fines malintencionados, un archivo con un nombre aleatorio y una extensión.

La aplicación Winword legítima se utiliza para descargar el archivo DLL malicioso, que actúa como un cargador para la carga útil real oculta dentro del archivo cifrado con el nombre aleatorio.

La descarga de DLL es una técnica que explota cómo las aplicaciones de Windows cargan bibliotecas. En este caso, los atacantes se aprovechan de una versión anterior de Microsoft Word, que contiene una vulnerabilidad que le permite cargar un archivo DLL malicioso disfrazado de parte legítima de una instalación de Microsoft Office. El archivo malicioso wwlib.dll actúa como un cargador, descifrando y ejecutando la carga útil de malware real oculta en otro archivo cifrado. Este uso de carga lateral de DLL dificulta las cosas a los tradicionalistas. Herramientas de seguridad Para detectar el ataque.

Los atacantes llegan incluso a firmar digitalmente algunos archivos DLL maliciosos con certificados caducados recientemente. Esta táctica permite que el malware evite la detección por parte de sistemas de seguridad que confían plenamente en archivos binarios firmados.

Una vez que comienza el ataque, se desarrollan una serie de acciones maliciosas. El ataque comienza ejecutando un código auxiliar, que descomprime y autoinserta un componente conocido como install.dll. Este componente establece persistencia en el sistema de destino e inicia la siguiente fase ejecutando ClientEndPoint.dll, que sirve como núcleo de la funcionalidad de la puerta trasera.

Después de la instalación, el malware prioriza mantener la persistencia en el sistema infectado, utilizando el componente install.dll para lograrlo. Este componente admite tres métodos operativos: instalar el proceso host como un servicio, configurarlo como una tarea programada o ingresar a la siguiente fase sin demostrar persistencia. Estas opciones permiten que el malware permanezca activo y evada la detección, lo que garantiza que pueda continuar con sus actividades maliciosas incluso después de reiniciar el sistema.

La fase final del ataque comienza con dos tareas importantes. Primero, el malware desvincula el NTDLL, una técnica utilizada para eliminar posibles ganchos colocados por el software de seguridad. El malware garantiza que ningún gancho interfiera con sus operaciones maliciosas al cargar una nueva copia de la biblioteca NTDLL. En segundo lugar, el malware utiliza una técnica conocida como silenciamiento EDR para neutralizar ataques comunes. Detección y respuesta de endpoints Herramientas EDR. Escanea la lista de procesos en busca de herramientas de seguridad conocidas y agrega reglas de bloqueo al Firewall de Windows en busca de coincidencias. Esto desactiva la capacidad del software de seguridad para detectar o prevenir más actividades maliciosas.

Uno de los aspectos más complejos del malware es su capacidad para comunicarse con un servidor de comando y control (C2). La formación de la conexión C2 está integrada en el malware y depende de un cronograma. El conjunto de bits en la configuración representa cada hora de la semana, y si una hora en particular está marcada como activa, el malware intentará establecer una conexión con el servidor C2.

El malware también admite múltiples protocolos de comunicación, incluidos TCP, TLS, HTTP, HTTPS y WebSocket. Una vez que se establece la conexión, el malware puede recibir comandos o cargas adicionales del servidor C2. El formato binario personalizado utilizado para la comunicación hizo que el tráfico fuera más difícil de detectar y analizar.

El vector de acceso inicial del ataque aún no está claro, pero los investigadores notaron que la primera aparición de los archivos maliciosos fue en una carpeta de software ERP popular de Taiwán. Esto planteó la posibilidad de un ataque a la cadena de suministro, donde los atacantes comprometieron el software de planificación de recursos empresariales (ERP) para distribuir malware.

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags aprovecha, comprometer, descarga, DLL, Drones, industria, malware, para, persistente, Taiwan, WordDrone

Featured

Los sistemas Linux están expuestos a malware nuevo, extendido y peligroso

Post author By lisa nichols
Post date October 4, 2024
No Comments on Los sistemas Linux están expuestos a malware nuevo, extendido y peligroso

[ad_1]

Los sistemas Linux son el objetivo de una nueva amenaza grave malware Puede actuar como cargador, proxy y minero de criptomonedas.

El malware denominado Perfctl fue detectado recientemente por investigadores de ciberseguridad de Aqua Security, quienes afirman que existe desde al menos 2021 y que hasta ahora ha infectado a miles de usuarios. Linux Puntos finales. Hay dos formas principales en que los actores de amenazas implementan Perfctl: ya sea explotando miles de posibles configuraciones erróneas o explotando la vulnerabilidad 10/10 que se descubrió el año pasado.

Las configuraciones incorrectas pueden ser casi cualquier cosa, desde contraseñas débiles hasta cualquier otra cosa. En cuanto a las vulnerabilidades, los investigadores han visto que se abusa de CVE-2023-33426. Se trata de una falla de lectura fuera de límites con una gravedad de 10/10 y está presente en la plataforma de transmisión y mensajería Apache RocketMQ.

Agente y cargador

Una vez que se implementa el malware, se necesita un esfuerzo adicional para permanecer oculto y persistente, lo que hace que los usuarios de Reddit se quejen de que no pueden eliminar el malware de sus dispositivos, incluso después de eliminar varios componentes.

Cuando se está ejecutando, Perfctl puede hacer varias cosas. Su característica más destacada parece ser la extracción de criptomonedas para los atacantes. Sin embargo, también puede actuar como proxy de un servicio comercial, donde otros estafadores pagan para enrutar su tráfico a través de estos dispositivos y así ocultar su identidad. Finalmente, el malware puede actuar como un cargador para difundir otros programas según sea necesario.

Hasta el momento, los investigadores no han determinado quién está detrás del ataque ni cuál es su objetivo final. Agregaron que si bien la cantidad de dispositivos infectados es de miles, la cantidad de objetivos potenciales es de millones, lo que sugiere que los operadores de sistemas Linux deberían estar atentos a posibles indicadores de compromiso.

a través de Ars Técnica

Más de TechRadar Pro

[ad_2]

Source Article Link

Tags están, expuestos, extendido, Linux, Los, malware, nuevo, peligroso, sistemas