Malware sin archivo ataca a usuarios de instituciones financieras en América Latina
Un grupo de investigadores ha descubierto una nueva variedad de malware sin archivo (fileless malware) atacando principalmente a los clientes de algunos bancos en países como Brasil y otros en América Latina, empleando una herramienta de hacking y al menos dos herramientas para el robo de información.
El malware se conecta a hxxp://35[.]227[.]52[.]26/mods/al/md[.]zip para descargar códigos de PowerShell. Posteriormente, el malware se conecta a hxxp://35[.]227[.]52[.]26/loads/20938092830482 para ejecutar los códigos y contactar a otras URL antes de cambiar el nombre de sus archivos para que parezcan funciones de Windows legítimas.
Finalmente, el malware hace que el equipo infectado se reinicie para mostrar una pantalla de bloqueo falsa, pensada para que la víctima ingrese sus credenciales de inicio de sesión.
Mientras comienza a eliminar todas sus cargas, el malware descarga otras dos herramientas de hacking. La primera inicia el Outlook de la víctima y envía las direcciones email almacenadas a su servidor de comando y control. La segunda herramienta (HKTL_RADMIN), permite que un atacante obtenga privilegios de administrador en el sistema comprometido.
Cuando el usuario inicia sesión nuevamente, el malware libera un archivo para cargar la tercera herramienta de hacking, que toma control del historial de sitios visitados por la víctima buscando información bancaria. Cuando encuentra algo de su interés, recopila la información y la envía a su C&C.
Esta campaña es una muestra más del pronunciado crecimiento que han experimentado los ataques con malware sin archivos en tiempos recientes; acorde a especialistas en ciberseguridad, alrededor del 35% de los ciberatauqes registrados en 2018 usaron alguna variedad de malware sin archivos.
Fuente: Noticias Seguridad
El malware se conecta a hxxp://35[.]227[.]52[.]26/mods/al/md[.]zip para descargar códigos de PowerShell. Posteriormente, el malware se conecta a hxxp://35[.]227[.]52[.]26/loads/20938092830482 para ejecutar los códigos y contactar a otras URL antes de cambiar el nombre de sus archivos para que parezcan funciones de Windows legítimas.
Finalmente, el malware hace que el equipo infectado se reinicie para mostrar una pantalla de bloqueo falsa, pensada para que la víctima ingrese sus credenciales de inicio de sesión.
Mientras comienza a eliminar todas sus cargas, el malware descarga otras dos herramientas de hacking. La primera inicia el Outlook de la víctima y envía las direcciones email almacenadas a su servidor de comando y control. La segunda herramienta (HKTL_RADMIN), permite que un atacante obtenga privilegios de administrador en el sistema comprometido.
Cuando el usuario inicia sesión nuevamente, el malware libera un archivo para cargar la tercera herramienta de hacking, que toma control del historial de sitios visitados por la víctima buscando información bancaria. Cuando encuentra algo de su interés, recopila la información y la envía a su C&C.
Esta campaña es una muestra más del pronunciado crecimiento que han experimentado los ataques con malware sin archivos en tiempos recientes; acorde a especialistas en ciberseguridad, alrededor del 35% de los ciberatauqes registrados en 2018 usaron alguna variedad de malware sin archivos.
Fuente: Noticias Seguridad
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!