Piratas informáticos dirigidos a países de habla árabe con documentos maliciosos de Microsoft Business


Los cibercriminales crearon una RAT casera que utiliza múltiples servicios en la nube y se dirige a países como Arabia Saudita, Irak, Egipto, Libia, Argelia y Marruecos.

Cómo está evolucionando el panorama del malware
Todavía tenemos una gran cantidad de hacks y malware que ingresan a través de phishing y «trucos» anteriores, dice Franc Artes, Arquitecto de Negocios de Seguridad en Cisco.

Los investigadores de seguridad del Grupo de Investigación e Inteligencia de Seguridad Talos de Cisco descubrieron un nuevo tipo de malware que puede atacar los dispositivos de una víctima a través de documentos maliciosos de Microsoft Workplace.

El malware es un troyano de acceso remoto, también conocido como RAT, que los analistas de Talos Warren Mercer, Paul Rascagneres, Vitor Ventura y Eric Kuhla llamaron «JhoneRAT» porque busca nuevos comandos en los tweets desde el identificador @ jhone87438316. Twitter suspendió el identificador, pero JhoneRAT busca nuevos comandos cada 10 segundos utilizando un analizador HTML para identificar nuevos tweets.

En una entrada de website y una entrevista por correo electrónico, Rascagneres y el equipo de Talos explicaron que este malware se ha utilizado específicamente para atacar a personas y sistemas en Arabia Saudita, Irak, Egipto, Libia, Argelia, Marruecos, Túnez, Omán, Yemen, Siria, Emiratos Árabes Unidos, Kuwait, Bahrein y el Líbano.

«No sabemos por qué específicamente estos países, los atacantes simplemente codificaron estos países en el malware. Los atacantes tenían el handle completo de los sistemas comprometidos. El propósito de las campañas era el ciberespionaje», dijo Rascagneres.

VER: Política de uso de net y correo electrónico (TechRepublic Premium)

Los ciberatacantes han usado JhoneRAT desde noviembre y poco ha cambiado en sus tácticas desde entonces, según Rascagneres.

Cómo funciona JhoneRAT

Cuando se implementa JhoneRAT, intenta recopilar información en la máquina de la víctima y luego utiliza múltiples servicios en la nube como Google Push, Twitter, ImgBB y Google Kinds antes de intentar descargar más cargas útiles y cargar cualquier información recopilada durante la fase de reconocimiento.

Los investigadores de Talos podían decir por el código que JhoneRAT fue desarrollado usando Python y que las personas detrás de él se dirigieron específicamente a cada país «en función del diseño del teclado de la víctima».

«Todo comienza con un documento malicioso que utiliza una vulnerabilidad conocida para descargar un documento malicioso alojado en World wide web. Para esta campaña, el atacante eligió usar un proveedor de la nube (Google) con buena reputación para evitar la inclusión en la lista negra de URL. El malware es dividido en un par de capas: cada capa descarga una nueva carga útil en un proveedor de la nube para obtener el RAT last desarrollado en Python y que utiliza proveedores adicionales como Twitter e ImgBB «, escribieron los investigadores de Talos en su publicación de site.

«Esta RAT es un buen ejemplo de cómo un ataque altamente enfocado que intenta mezclar su tráfico de crimson en la multitud puede ser altamente efectivo. En esta campaña, enfocar la detección de la pink no es el mejor enfoque. En cambio, la detección debe basarse sobre el comportamiento del sistema operativo. Los atacantes pueden abusar de proveedores de nube conocidos y abusar de su reputación para evitar ser detectados «, continuó el blog.

VER: 10 formas de minimizar las infecciones de malware sin archivos (PDF gratuito) (TechRepublic)

Cómo protegerte de una RAT

Los atacantes pueden atraer a sus víctimas para que abran los documentos etiquetándolos como «Urgent.docx» o «fb.docx», así como otros archivos de imágenes extraños. A pesar de que se revocó la clave API y se suspendió la cuenta de Twitter, el atacante aún puede implementar la RAT con nuevas cuentas.

En su publicación de weblog, los investigadores de Talos señalaron que las personas detrás del ataque usaron trucos anti-VM y anti-análisis para ocultar sus acciones, lo que refuerza la necesidad de sistemas de seguridad que puedan hacer más que solo la detección basada en la purple.

«Con respecto a la campaña, todo comienza con un documento malicioso de Office environment. Recomendamos no abrir documentos de remitentes desconocidos. Además, los usuarios deben tener cuidado cuando Office solicite habilitar Macro (botón» Habilitar contenido «). Recomendamos no habilitarlos, y recomendamos a las compañías que hagan cumplir esta política. La protección de punto final también es importante para la detección de estas campañas «, agregó Rascagneres.

«En estas campañas, los atacantes utilizaron proveedores en la nube, por eso la protección y detección de redes no es eficiente. Demuestra que la protección de punto closing es obligatoria además de los otros mecanismos de detección que las compañías ya están implementadas».

Ver también

malware.jpg



Enlace a la noticia unique