Una puerta trasera “totalmente indetectable” ha salido a la luz gracias al malware (se abre en una pestaña nueva) comportamiento imprudente de los operadores.
Los investigadores de seguridad cibernética de SafeBreach Labs afirman haber detectado una nueva puerta trasera de PowerShell que, cuando se ejecuta correctamente, brinda a los atacantes acceso remoto a puntos finales comprometidos. A partir de ahí, los atacantes podrían lanzar todo tipo de ataques de etapa dos, desde ladrones de información hasta ransomware. (se abre en una pestaña nueva)y todo lo demás.
Según el informe, un actor de amenazas desconocido creó un documento de Word armado, llamado «ApplyForm[.]docm”. Llevaba una macro que, si se activaba, iniciaba un script de PowerShell desconocido.
Dejar caer la pelota con guiones
«La macro suelta updater.vbs, crea una tarea programada que finge ser parte de una actualización de Windows, que ejecutará el script updater.vbs desde una carpeta de actualización falsa en ‘%appdata%localMicrosoftWindows», explicaron los investigadores. .
Updater.vbs luego ejecutaría un script de PowerShell que le daría acceso remoto al atacante.
Antes de ejecutar la tarea programada, el malware genera dos scripts de PowerShell: Script.ps1 y Temp.ps1. El contenido se oculta y se coloca en cuadros de texto dentro del archivo de Word, que luego se guarda en el directorio de actualización falsa. De esa forma, las soluciones antivirus no pueden identificar el archivo como malicioso.
Script.ps1 se comunica con el servidor de comando y control para asignar una identificación de víctima y recibir más instrucciones. Luego, ejecuta el script Temp.ps1, que almacena información y ejecuta los comandos.
El error que cometieron los atacantes fue emitir identificaciones de víctimas en una secuencia predecible, lo que permitió a los investigadores escuchar las conversaciones con el servidor C2.
Si bien quién está detrás del ataque sigue siendo un misterio, el documento de Word malicioso se cargó desde Jordan a fines de agosto de este año y hasta ahora ha comprometido aproximadamente cien dispositivos, generalmente pertenecientes a personas que buscan nuevas oportunidades de empleo.
Un lector de El registro (se abre en una pestaña nueva) describió su experiencia con la puerta trasera y ofreció consejos a las empresas que buscan mitigar el daño que pueden causar las puertas traseras desconocidas.
“Ejecuto un MSP y nos alertaron sobre esto el 3 de octubre. El cliente era una organización benéfica de 330 asientos y no lo vinculé a este artículo específico hasta que lo leí esta mañana».
«Tienen confianza cero [ZT] y Ringfencing así que, aunque la macro se ejecutó, no salió de Excel”, dijeron. «Un recordatorio sutil para incorporar una solución ZT en entornos críticos, ya que puede detener cosas de día cero como esta».
Vía: El Registro (se abre en una pestaña nueva)