miércoles, 21 de abril de 2021

Hackers usan campaña de phishing email para desplegar múltiples variantes de troyanos

Una nueva campaña de phishing apunta contra objetivos específicos tratando de distribuir diversos troyanos de acceso remoto (RAT). Acorde a los investigadores de Cisco Talos Intelligence, esta campaña de hacking fue identificada como “Fajan” y podría estar siendo operada desde un país de habla árabe.

Los expertos creen que esta campaña habría comenzado a inicios de marzo, comenzando con el compromiso de objetivos “de bajo perfil” para determinar si las muestras de malware estaban distribuidas correctamente o bien hacía falta realizar algún proceso de depuración.

Los ataques comienzan en forma de emails especialmente dirigidos a clientes de Bloomberg Industry Group. Esta compañía agrega contenido de noticias en plataformas para diversas industrias, como leyes, impuestos y contabilidad, y gobierno, y las vende a sus diversos clientes.

Los atacantes aseguran que estos emails contienen facturas, aunque en su lugar incluyen archivos de Excel con un código oculto que inicia la descarga de una carga útil que contiene el RAT, basado en JavaScript o VB: “Esto permite a los hackers tomar el control del sistema infectado empleando HTTP a través de un puerto TCP”, menciona el reporte de seguridad.

Además, el uso de RAT como cargas útiles indica que el objetivo de los hackers es el monitoreo de las víctimas y el robo de datos. No obstante, los servidores C&C malicioso no respondieron cuando los investigadores hicieron su análisis, por lo que no fue posible determinar los objetivos reales de los actores de amenazas.

Uno de los troyanos detectados por los especialistas fue identificado como NanoCore RAT, y es un troyano comercial que ha estado disponible para su compra desde al menos 2013. El autor de este troyano fue detenido en 2017 y condenado a tres años de prisión; aunque esto interrumpió el desarrollo del RAT, muchas variantes similares siguen apareciendo.

El mismo vector de ataque fue encontrado en aproximadamente el 60% de las campañas analizadas. El resto de los archivos adjuntos maliciosos contenían fórmulas macro de Excel 4.0 diseñadas para ejecutarse cuando los archivos están abiertos y todos contienen un código simple para ejecutar una línea de comandos de PowerShell para descargar y ejecutar la siguiente etapa desde una URL de Pastebin.

Los investigadores seguirán analizando estos incidentes para tratar de determinar la identidad y objetivos de los atacantes. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Hackers usan campaña de phishing email para desplegar múltiples variantes de troyanos apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario