En la ola de ataque empresarial, el troyano NetWire ahora se entierra en archivos de imagen de disco


¿Por qué un troyano bancario sofisticado comenzó a enviar SMS desagradables?
La característica es sin duda una forma de anunciar una infección de malware en su teléfono inteligente.

Se ha descubierto una nueva campaña NetWire RAT que utiliza archivos adjuntos de imágenes de disco falsas cargados con malware en estafas de correo electrónico de negocios.

El troyano de acceso remoto (RAT) de NetWire es clave para esta última amenaza para los jugadores empresariales. Descubierto por primera vez en 2012, el RAT ha experimentado un ciclo constante de evolución y actualizaciones por parte de sus desarrolladores, ya que el malware se ofrece comercialmente en foros clandestinos.

De acuerdo a Investigadores de IBM X-Force Megan Roddie y Limor Kessem, el troyano se ha conectado a una amplia gama de campañas «que van desde esfuerzos de cibercrimen por estafadores nigerianos hasta ataques avanzados de amenazas persistentes (APT)».

Ver también: Los proveedores de antivirus introducen soluciones para el método de ataque EFS ransomware

En 2017, los investigadores de AlienVault dijeron que NetWire period el segundo troyano más común que amenaza las redes empresariales, justo detrás de NjRat, una RAT centrada en objetivos en Oriente Medio.

Sin embargo, la última estafa de correo electrónico comercial (BEC) está utilizando una nueva técnica: el intento de utilizar archivos de imagen maliciosos y diseñados enviados como archivos adjuntos de correo electrónico para eludir los controles de seguridad existentes.

Muchas estafas BEC siguen el mismo patrón. Se envían mensajes que se hacen pasar por consultas o solicitudes corporativas legítimas que contienen enlaces a dominios o documentos fraudulentos que usan macros como un medio para implementar malware. Sin embargo, los archivos adjuntos de imágenes de disco simples no son tan comunes y es posible que no se reconozcan como falsos tan fácilmente.

En una publicación de blog el martes, el equipo dijo que los archivos .img se están enviando desde un pequeño número de actores de amenazas aparentemente desde Alemania. En un caso, el archivo se llamaba «Profits_Quotation_SQUO00001760.img», y una vez abierto, extraería un ejecutable que contenga NetWire.

CNET: La aplicación Clearview permite que extraños encuentren su nombre, información con solo tomar una foto, según el informe

Tras la ejecución, la primera tarea en la lista de NetWire es mantener la persistencia, lograda mediante la programación de tareas. Las claves de registro también se almacenan para facilitar la transferencia de información robada al servidor de comando y control (C2) del malware a través del puerto TCP 3012.

El malware es capaz para robar información del sistema, descargar y ejecutar cargas adicionales, leer historiales de World-wide-web, recopilar credenciales, incluidas las utilizadas por los navegadores y clientes de correo electrónico, instalar registradores de teclas y simular las operaciones del teclado y el mouse.

Es possible que la última campaña tenga una motivación financiera, como lo están la mayoría de las estafas de BEC. IBM ha sugerido que en esta campaña es possible que los estafadores locales hayan comprado el troyano disponible comercialmente para robar a las víctimas.

TechRepublic: Las recompensas de errores no te harán rico (pero deberías participar de todos modos)

«Si bien la mayor parte del delito cibernético motivado financieramente es el trabajo de grupos delictivos más grandes y organizados, las facciones más pequeñas todavía están en el negocio, y también se dirigen a las empresas para comprometer cuentas bancarias y robar dinero mediante el uso de malware disponible comercialmente durante todo el año», agregaron los investigadores .

La atribución es difícil dada la naturaleza comercial del malware, sin embargo, las pistas encontradas en las cadenas del código se han escrito en lo que parece ser indonesio.

En enero, expertos en ciberseguridad de Zscaler y Good Technologies documentaron la actualización de FTCODE, una variedad de ransomware basada en PowerShell que se ha actualizado recientemente con capacidades de robo de credenciales de correo electrónico y navegador.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique