Resumen: El día de ayer, los investigadores de Fortinet notificaron a los usuarios sobre una nueva campaña maliciosa, que utiliza los archivos adjuntos para desplegar cargas diferentes de malware.
La campaña, rastreada por primera vez a principios de mayo, está dirigida a los sistemas de Windows y despliega tres diferentes troyanos de acceso remoto (RAT), que una vez ejecutados, podrían controlar y robar información de los ordenadores comprometidos.
En las primeras etapas del ataque, los usuarios reciben mensajes de phishing que se hacen pasar por supuestos informes de pago, enviados desde una fuente “confiable”, acompañados de una breve leyenda que invita a los usuarios a abrir un archivo de Excel que va adjunto.
Posteriormente, si los usuarios intentan abrir el archivo, se les muestra una pestaña de Excel que señala posibles problemas de seguridad por el uso de macros, sin embargo, si los usuarios ignorar el mensaje y deciden abrir el archivo, la carga maliciosa del malware será desplegada.
En esta etapa, las tres piezas diferentes de malware son desplegadas en el ordenador de la víctima.
La primera, AveMariaRAT posee capacidades que ponen en peligro la confidencialidad, disponibilidad y seguridad de los usuarios infectados, estas incluyen el robo de información, la escalda de privilegios y las capturas de cámara.
La segunda herramienta, apodada como Pandora hVNC RAT, se trata de un software que proporciona una variedad de funciones para robar credenciales de aplicaciones como Chrome, Edge, Firefox, Foxmail, Outlook y más.
Finalmente esta BiRAT, un troyano de acceso remoto cuya explotación le permite a los atacantes controlar el dispositivo de sus víctimas, y posee herramientas de recopilación de datos como el registro de teclas, portapapeles, credenciales, cámara y una herramienta de grabación de la voz. Dicho esto y dada la gravedad del despliegue de esta nueva campaña, se le insta a todos los administradores a mantener sus sistemas al día, así como a utilizar las mejores prácticas de ciberseguridad.
Recomendaciones: Medidas para prevenir los ataques de phishing Evitar la descarga de archivos de fuentes sospechosas No dar click en enlaces provenientes de fuentes no confiables Contar con un firewall confiable y actualizado Hacer copias de seguridad Mantener sus dispositivos actualizados Utilizar contraseñas seguras
Referencias: https://www.theregister.com/2022/06/01/phishing-rat-bitrat-fortinet/ https://www.fortinet.com/blog/threat-research/phishing-campaign-delivering-fileless-malware-part-two
|
SÍGUENOS