Header Ads Widget

Ticker

6/recent/ticker-posts

Hackers explotan una herramienta legítima de Windows para realizar ataques sin archivos

 Los investigadores de Malwarebytes han descubierto una campaña de piratas informáticos desconocidos que están explotando activamente el servicio de informe de errores de Windows para la inyección de archivos maliciosos. Explotan esta herramienta legítima de Windows para permanecer sigilosos y también para ejecutar su malware en la memoria del sistema, sin dejar huellas de ataque.

Los piratas informáticos aprovechan la herramienta de Windows en un ataque sin archivos

Los investigadores Jérôme Segura y Hossein Jazi de Malwarebytes han sacado a la luz una nueva campaña de piratería , en la que los perpetradores están explotando una herramienta legítima de Windows denominada servicio Windows Error Reporting (WER). Más que informar al usuario sobre un error, Microsoft lo utiliza para mantenerse informado sobre los problemas de los usuarios en Windows .

El grupo de piratería seguido por los investigadores, que aún no se ha nombrado, está activo desde el 17 de septiembre, donde se registró el primer ataque. Dicen que el modo de llegar al objetivo es a través de un spear-phishing , donde se incrustó un documento malicioso en el correo electrónico, promocionando como un documento de Compensación para Trabajadores como el señuelo para abrir.

Ejemplo de correo electrónico de phishing de Malwarebytes
Ejemplo de correo electrónico de phishing de Malwarebytes

Al abrir, solicitará a los usuarios que habiliten las macros y la edición del contenido, que en segundo plano comienza a ejecutar un código de shell a través de un módulo VBA de CactusTorch. Esto " cargará una carga útil .NET directamente en la memoria del dispositivo Windows ahora infectado ", dice BleepingComputer .

A continuación, esto se ejecutará en la memoria del sistema, que no deja rastros en el disco duro. Además, inyecta un " shellcode incrustado en WerFault.exe, el proceso de Windows del servicio WER ". El subproceso del servicio Informe de errores de Windows recién creado que está infectado con el código malicioso comprobará la seguridad.

Comprueba si hay alguna depuración o signos de ejecución en una caja de arena o máquinas virtuales, y si se considera seguro, procederá al siguiente paso de cargar el código de shell final " en un hilo WER recién creado, que se ejecutará en un nuevo hilo . ”Se descubrió que la carga útil final se estaba importando en forma de favicon falso.

Los investigadores no pudieron estudiarlo en última instancia, ya que la carga útil final, cargada desde un sitio denominado " asia-kotoba [.] Net ", se cayó mientras se analizaba el ataque. Sin embargo, a partir de algunas pistas recopiladas en el proceso, vincularon a los perpetradores con un grupo de piratas informáticos respaldado por el estado vietnamita.

Rastreado como APT32 , el grupo de piratería también se llama SeaLotus u OceanLotus. El uso del módulo CactusTorch VBA para descargar cargas útiles y el dominio que están usando ( yourrighttocompensation [.] Com ) para estos ataques se registró en la ciudad de Ho Chi Minh de Vietnam, insinuando que eran los piratas informáticos vietnamitas.

Publicar un comentario

0 Comentarios