Especialistas en ciberseguridad de Trend Micro reportan la detección de una campaña de spam dedicada al despliegue del troyano bancario Emotet en la que los actores de amenazas usan representaciones hexadecimales y octales de direcciones IP con el fin de evadir la detección mediante una táctica conocida como coincidencia de patrones.
Estas rutas también recurren a técnicas de ingeniería social para engañar a los usuarios para que habiliten macros de documentos y automaticen la ejecución de malware. Al recibir estos estándares, los sistemas operativos convierten automáticamente los valores a la representación cuádruple decimal para iniciar la solicitud desde los servidores remotos. El objetivo principal de esta campaña parece ser la entrega de otras variantes de malware como TrickBot y Cobalt Strike.
Las muestras detectadas por los expertos residían en un archivo adjunto a un email usando macros Excel 4.0, una función empleada para automatizar algunas tareas repetitivas en Excel que los cibercriminales han abusado para entregar malware anteriormente. El abuso de esta función permitió que el malware se ejecutara una vez que se abre el documento usando la macro auto_open.
La URL está ofuscada con signos de intercalación y el host contiene una representación hexadecimal de la dirección IP. Los investigadores pudieron convertir los números hexadecimales para encontrar el equivalente decimal con puntos más comúnmente usado, 193.42.36.245.
Una vez ejecutada, la macro invoca cmd.exe>mshta.exe con la URL que contiene la representación hexadecimal de la dirección IP como argumento, descargando y ejecutando un código de aplicación HTML desde el host remoto.
Del mismo modo que la representación hexadecimal, el documento también usa macros de Excel 4.0 para la ejecución del malware al abrir el documento. La URL también está ofuscada con signos de intercalación, pero la IP contiene una representación octal
Esta campaña ha estado activa desde noviembre de 2021, aunque desde hace un par de semanas los investigadores notaron un pico de actividad muy alto, por lo que depender de las soluciones de seguridad basadas en la detección de patrones podría ser un enfoque poco recomendable en términos de ciberseguridad.
Los expertos de Trend Micro recomiendan a los administradores de sistemas aplicar las medidas necesarias para detectar y bloquear este vector de ataque antes de que se completen los ataques.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El cargo Estas direcciones IP hexadecimales y octales pueden evadir los mecanismos antimalware. Bloquee para evitar ser hackeado por el malware Emotet apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario