Contacto
Links
Menú
Ubicacion
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.
octubre 20, 2022
A menudo nos preguntan cómo se infectan los objetivos con malware. Nuestra respuesta es casi siempre la misma: (spear) phishing. Habrá excepciones, naturalmente, ya que encontraremos vulnerabilidades RCE de vez en cuando, o si el atacante ya está en la red, utilizará herramientas como PsExec. Pero eso es todo, la mayor parte del tiempo, de todos modos.
Esta vez nos enfocamos en los métodos de infección usados en varias campañas de malware: métodos que no vemos que se usen con mucha frecuencia.
BlackBasta, el notorio ransomware recibió una actualización recientemente. Ahora tiene un segundo parámetro de línea de comando opcional: «-bomba».
Cuando se usa ese parámetro, el malware hace lo siguiente:
El beneficio de usar un método de propagación incorporado es que deja menos rastros en el sistema y es más sigiloso que usar herramientas públicas. Por ejemplo, una de las herramientas favoritas de los atacantes, PsExec, se detecta fácilmente en la red. El nuevo método deja a los defensores de la red con menos posibilidades de detectar la actividad maliciosa.
Los ciberdelincuentes rara vez usan torrents maliciosos para infectar a sus objetivos. Sin embargo, es un método de infección que no debe descartarse, tal y como demuestra CLoader.
CLoader se descubrió en abril de 2022. Utilizaba juegos y software descifrados como cebo para engañar a los usuarios para que instalaran malware. Los archivos descargados eran instaladores de NSIS, que contenían código malicioso en el script de instalación.
En total, observamos seis payloads diferentes que se descargaron:
Cuando observamos la victimología, vemos que los usuarios de todo el mundo están infectados, pero principalmente en los EE. UU., Brasil e India.
En agosto de 2022, se descubrio una campaña que se había estado ejecutando al menos desde enero, enfocándose en los usuarios de habla china. Un popular canal de YouTube en chino sobre el anonimato en línea publicó un video con instrucciones para instalar el navegador Tor. Eso no es extraño en sí mismo, ya que el navegador Tor está bloqueado en China. Sin embargo, si el usuario hace clic en el enlace de la descripción, se descarga una versión infectada del navegador Tor.
La versión infectada es casi idéntica a la original, por lo que el usuario no nota ninguna diferencia. La diferencia con la versión benigna es:
La funcionalidad del Freebl3.dll backdoored es bastante simple. Transmite toda la funcionalidad a la DLL original y también descarga una DLL adicional del C2.
La DLL descargada contiene la mayor parte de la funcionalidad maliciosa. Entre otras cosas, es capaz de:
Somos una consultoría especializada en la seguridad de información, que por medio de una gama de consultores expertos en la materia, brindamos soluciones a los problemas tecnológicos que enfrentan las diferentes industrias.
Aunque los actores malintencionados se basan en el correo electrónico como principal vector de infección, no se deben descartar otros métodos. La usurpación de dominios y el software descifrado descargable a través de torrents son solo dos de los trucos alternativos que usan los delincuentes para atraer a las víctimas para que instalen el malware en sus sistemas.
Los desarrolladores de ransomware siguen actualizando su malware. Esta vez, BlackBasta agregó una funcionalidad que dificulta el análisis forense y la detección, ya que el malware ahora puede propagarse a través de la propia red.
Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.