En un reciente ataque llevado a cabo mediante campañas de phishing y el uso de emails que contenían spam, un grupo de cibercriminales está explotando la verificación de firmas digitales de Microsoft, esto con el fin de extraer credenciales de miles de usuarios que utilizan en su día a día algún Sistema Operativo propiedad de Microsoft. El grupo de cibercriminales fueron identificados con el nombre de MalSmoke, los cuales utilizan una variante del Malware Zloader.
Recordemos que el Zloader (también llamado Terdot o DELoader) fue detectado en 2015 en el sector bancario y puede robar credenciales de cuentas en línea e información confidencial.
Los cibercriminales han distribuido el malware de diversas formas, mediante él envió de emails con contenido de spam y campañas de phishing con contenido para adultos, además de experimentar con cargas útiles de ransomware.
La campaña más reciente utilizada para la propagación de este malware consistía en la entrega de un archivo infectado e identificado como “Java.msi”, este se encuentra oculto como un instalador de una herramienta de administración remota llamada Atera.
Al ejecutar este archivo aparentemente legítimo, Atera crea un agente y asigna una dirección de email al equipo infectado y este queda bajo control de los cibercriminales. Posteriormente a la ejecución del archivo, los cibercriminales obtienen acceso remoto al Sistema Operativo permitiéndoles ejecutar cualquier tipo de scripts y carga de archivos infectados. Adicionalmente a esto, los scripts incluidos en el archivo ejecutable realizan una serie de comprobaciones a nivel usuario para verificar los privilegios de administrador, agregar exclusiones a algunas carpetas, así mismo, deshabilitar herramientas como el CMD y el Administrador de Tareas.
Recomendación
La solución Tanium que está disponible en el portafolio de Nova, nos ofrece distintos módulos con los cuales robustecemos la seguridad ante cualquier tipo de ataque o malware.
Tanium ofrece:
Visibilidad: En cada equipo, administrado o no administrado, con datos completos, precisos y en tiempo real en segundos.
Control: Tomar el control desde las mismas instalaciones o desde la nube y verifique el estado de sus equipos en segundos con mínimo impacto en la red.
Velocidad: Contener, reparar o parchar incidentes que surjan día con día en cuestión de minutos y la capacidad de adoptar un enfoque proactivo para la administración de TI.
Confianza: Toda la información que necesita en una sola plataforma.
Además de estos puntos Tanium ofrece caza de amenazas, inventario y descubrimiento de activos, monitoreo de datos sensibles, gestión de riesgos, cumplimiento, parches y gestión de clientes.
Mantener tu infraestructura segura y lista para responder a cualquier campaña de malware es una tarea sencilla con Tanium.
No olvides seguirnos en Instagram, Facebook y LinkedIn para más contenido de ciberseguridad y tecnologías de la información, estamos seguros de que no querrás perdértelo.
Consulta la fuente de esta noticia aquí.