«Vicious Panda»: una campaña de malware que utiliza el Coronavirus como vector de infección
Obtener enlace
Facebook
X
Pinterest
Correo electrónico
Otras aplicaciones
Como cada vez que existe una noticia de interés mundial, esta es
usada por los ciberdelincuentes como cebo para inducir a sus víctimas a
clickar en los enlaces que sirven como vectores de infección del
malware. En este caso, como ya podéis deducir, el cebo ha sido
Coronavirus. El equipo de investigación de Check Point hizo público el hallazgo
y lo ha bautizado como «Vicious Panda» y está especialmente dirigido al
sector público Mongol. El grupo al que se le ha vinculado el ataque,
según indicaciones de Check Point parece tratarse de un grupo chino
relacionado con ataques a países como Ucrania, Rusia y Bielorrusia desde
2016.
La investigación comenzó con el análisis de dos ficheros RTF (Rich Text Format),
un formato de archivo de texto utilizado por productos de Microsoft.
Una vez la víctima abre el documento de texto se ejecuta un troyano de
acceso remoto (RAT) personalizado y no visto antes que hace capturas de
pantalla del dispositivo, accede al árbol de directorios y permite la
descarga de ficheros, entre otros.
Los ficheros RTF fueron creados con la herramienta RoyalRoad,
vinculado su uso a grupos chinos, que está diseñada para incluir los
payloads que causan la infección dentro de ficheros RTF. Las
vulnerabilidades que se nutren de este fallo no son conocidas y están
relacionadas con el editor de ecuaciones del software Microsoft Word. Una vez se abre el fichero RTF y la vulnerabilidad es explotada con
éxito, se introduce el fichero ‘intel.wll’ en la carpeta de inicio de
Microsoft Word ‘% APPDATA% \ Microsoft \ Word \ STARTUP’, permitiendo no
solo la persistencia del malware sino también el reintento del proceso
completo de infección en caso de que se cortase. El archivo, ‘intel.wll’, descarga un archivo DLL, que actúa como
descargador del malware, y que también se comunica con el servidor de
comando y control (C&C) de los atacantes.
Como ocurre con otros malware el servidor C&C no responde 24×7
sino que tiene una ventana de tiempo en la que acepta peticiones. Este
tipo de medidas son introducidas por los atacantes para dificultar el
análisis.
Por último, y después de recibir la orden correcta el servidor de
control, descarga el malware y descifra el módulo RAT que es cargado en
memoria, tratándose también en este caso de una DLL.
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el 76% del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el 90% de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en ...
Actualización, 16 de enero de 2025: Esta historia, publicada originalmente el 15 de enero, ahora incluye una declaración de Microsoft sobre los exploits de día cero de Windows. Como si los usuarios de Windows no tuvieran suficiente de qué preocuparse cuando se trata de problemas de seguridad, desde el próximo fin del soporte de seguridad para Windows 10 hasta un aumento en los ciberataques rusos , ahora Microsoft ha confirmado que se están utilizando tres nuevos exploits de día cero en los ciberataques en curso. Esto es lo que necesitas saber. Todos los usuarios de Windows alertados de tres ataques de día cero que ya están en marcha Microsoft ha publicado el último resumen de parches de seguridad de Patch Tuesday, y este mes, es una maravilla: 159 vulnerabilidades, 12 de las cuales son críticas e incluyen no menos de ocho días cero; tres de los cuales ya se sabe que están bajo explotación activa según Microsoft. "Este es definitivamente uno de e...
Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024", explica el informe . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos...
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios