Los delincuentes están explotando una vulnerabilidad de omisión de autenticación (CVE-2026-35616) en FortiClient Enterprise Management Server (EMS) para distribuir un programa de robo de credenciales no documentado llamado EKZ.
El atacante disfrazó el malware como una actualización para los endpoints de Fortinet y lo ejecutó mediante flujos de trabajo de scripts VPN gestionados por FortiClient.
La vulnerabilidad crítica explotada es un fallo de control de acceso inadecuado que permite a atacantes remotos no autenticados ejecutar código o comandos arbitrarios mediante solicitudes especialmente diseñadas. A principios de abril, Fortinet confirmó que estaba siendo explotado y publicó parches de emergencia para las versiones 7.4.5 y 7.4.6 del producto.
A principios de este mes, la empresa de ciberseguridad Arctic Wolf detectó ataques que aprovechaban esta vulnerabilidad para distribuir el programa de robo de información EKZ. Los investigadores señalan que la intrusión comienza con el abuso de las API de los endpoints para realizar acciones administrativas sin autenticación.
Posteriormente, el atacante modifica la configuración de EMS y las políticas de VPN para ejecutar scripts maliciosos. Segundos después de que los endpoints establecieran un túnel IPsec con un firewall FortiGate, el archivo legítimo fortitray.exe ejecuta scripts maliciosos a través del símbolo del sistema.
Estos scripts ejecutan una carga útil de PowerShell codificada en Base64 que descarga y ejecuta malware disfrazado de parche de Fortinet, para luego extraer datos a un VPS controlado por el atacante mediante HTTP.
.jpg)
"En lugar de utilizar un señuelo de malware genérico, la carga útil se presentó como una actualización de Fortinet y se ejecutó mediante flujos de trabajo de scripting VPN gestionados por FortiClient", indica el informe de Arctic Wolf. "En los puntos finales afectados, los componentes de FortiClient ejecutaron scripts de comandos que invocaron PowerShell, descargaron un programa para robar credenciales, lo ejecutaron silenciosamente y extrajeron los datos del navegador antes de eliminar los archivos locales".
La carga útil descargada, identificada como EKZ Infostealer, presenta una funcionalidad de robo de información bastante estándar. Ataca tanto navegadores web basados en Chromium como Firefox y extrae los datos almacenados en archivos de texto, eludiendo las protecciones de contraseña cifrada.
El malware ataca credenciales, datos de tarjetas de crédito, direcciones, números de teléfono y cookies, lo que permite acceder a cuentas protegidas por autenticación multifactor sin iniciar sesión.
Según Arctic Wolf, un indicio de un intento de explotación en ataques que distribuyen el infostealer EKZ es la presencia en los registros de la línea "Certificate not found in request header". En pruebas de laboratorio, este error fue seguido, segundos después, por otra entrada: "Certificate user: fortinet-ca2 … successfully updated".
Por lo tanto, los investigadores recomiendan que los responsables de seguridad busquen anomalías en la autenticación de certificados y cambios inesperados en las configuraciones del perfil de acceso remoto.
Cualquier actividad administrativa sospechosa, como nuevas cuentas, inicios de sesión con un origen desconocido (Tor, direcciones IP de VPS) o acciones que provoquen cambios de configuración, debe considerarse una señal de alerta.
El informe de Arctic Wolf proporciona una guía de detección exhaustiva que podría ayudar a las organizaciones a prevenir los ataques observados.
Fuente: BC
No comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!