Resumen: Una nueva campaña de phishing está desplegando un backdoor nunca antes visto en entidades gubernamentales de Francia y compañías de construcción e inmobiliaria. Apodado como Serpent, el malware le permite a los atacantes ejecutar cualquier comando para tomar el control del dispositivo infectado, descargar más malware o abrir shells inversos. Los operadores detrás de esta nueva campaña, envían correos electrónicos a sus víctimas, haciéndose pasar por la normativa de protección de datos de la Unión Europea (GDPR). Estos correos contienen documentos maliciosos de Word que se encargan de desplegar la carga útil del malware, para más adelante llevar a cabo la explotación del gestor de paquetes de Windows, mediante técnicas de evasión y ocultamiento de datos. Es preciso destacar que Chocolatey, la herramienta de gestión de software de Windows, es utilizada por múltiples usuarios para automatizar la obtención e instalación de ejecutables, zips y scripts en paquetes compilados. Cuando los usuarios abren los archivos maliciosos de Word, se les despliega de manera automática una imagen del Zorro de Dora la exploradora, que se encarga de ocultar el código malicioso de Serpent con el objetivo de eludir su detección. Más adelante, Serpent se comunica con el servidor C2 del atacante para recibir los comandos a ejecutar en el dispositivo de la víctima. Además de instalar backdoors, los operadores detrás de esta nueva campaña están ejecutando una nueva técnica de bypass, con un proxy firmado en los dispositivos infectados. Ahora bien, de acuerdo con expertos en ciberseguridad, las TTP (Tácticas, Técnicas y Procedimientos)utilizadas en esta nueva campaña, indican que esto es obra de un grupo de ciberatacantes nuevo, pero que posee grandes capacidades de explotación. Dicho esto, se le recomienda a todas las organizaciones que empleen prácticas básicas de ciberseguridad e implementen medidas de seguridad. Recomendaciones: Se le recomienda a todos los usuarios: Evitar descargar archivos o dar click en enlaces provenientes de fuentes sospechosas Contar con un firewall confiable y actualizado Hacer uso de copias de seguridad Mantener sus dispositivos actualizados Utilizar contraseñas seguras
Referencias: https://docs.chocolatey.org/en-us/why |
SÍGUENOS