Microsoft advierte sobre múltiples campañas de malspam que contienen archivos de imagen de disco maliciosos


microsoft windows parche de seguridad martes

Imagen: Geralt en Pixabay

Microsoft dice que sus modelos avanzados de detección de amenazas de aprendizaje automático han ayudado a su individual a detectar múltiples campañas de spam malicioso (malspam) que distribuyen archivos de imagen de disco infectados con malware.

La campaña, detectada la semana pasada, está utilizando señuelos COVID-19 (líneas de asunto de correo electrónico) para engañar a los usuarios para que descarguen y ejecuten archivos adjuntos ISO o IMG.

En una serie de tweets hoy, Microsoft dijo que estos archivos están infectados con una versión del troyano de acceso remoto (RAT) Remcos, que brinda a los atacantes regulate complete sobre los hosts infectados.

Microsoft dice que los atacantes han sido persistentes y han lanzado múltiples ejecuciones de spam diferentes, dirigidas a empresas de diferentes industrias, en varios países de todo el mundo. Los más importantes incluyen ejecuciones de spam como:

  • Una campaña de Remcos que persigue a las pequeñas empresas estadounidenses que buscan obtener préstamos por desastre. En este caso, las empresas recibieron correos electrónicos que pretendían ser de la Administración de Pequeños Negocios de EE. UU. (SBA), con un archivo adjunto IMG (imagen de disco) malicioso. El archivo IMG contenía un archivo ejecutable que united states of america un icono PDF engañoso. Cuando se ejecuta, el archivo ejecutable instala Remcos RAT.
  • Una campaña dirigida a empresas manufactureras en Corea del Sur. Los atacantes enviaron a las organizaciones objetivo un correo electrónico que se hace pasar por la Red de Alerta de Salud (HAN) de los CDC que transportaba archivos adjuntos de archivos ISO maliciosos. El archivo ISO contenía un archivo SCR malicioso, que instaló Remcos.
  • Otra campaña de Remcos se dirigió a contadores en los Estados Unidos, con correos electrónicos que pretendían contener «actualizaciones relacionadas con COVID-19» para miembros del Instituto Americano de Contadores Públicos. El archivo adjunto era un archivo ZIP que contenía la combinación ISO + SCR vista en la campaña de Corea del Sur.

El objetivo closing de esta operación es actualmente desconocido sin embargo, los actores de la amenaza podrían estar buscando empresas para detectar futuros ataques, como ransomware, estafas BEC o espionaje industrial.

«Lo principal que realmente queríamos llamar, y por qué llamó nuestra atención, es por los señuelos COVID-19 y también (por) las técnicas ligeramente diferentes que encontramos y los tipos de archivos adjuntos que envían». Tanmay Ganacharya, Director de Investigación de Seguridad de Microsoft Risk Safety, le dijo a ZDNet en una entrevista.

«Están usando archivos de imagen y archivos ISO, lo cual no es muy común. No es como si fuera la primera vez que lo vemos, pero tampoco es muy común que los atacantes lo hagan».

Se aconseja a las empresas que reciben este tipo de archivos adjuntos de correo electrónico que no ejecuten los archivos adjuntos.

Estos ataques en curso se descubrieron después de que Microsoft detectó un comportamiento sospechoso en las instalaciones de Defender.

El 96% de las amenazas actuales son archivos únicos por máquina

Ganacharya acreditó la apuesta de Microsoft en el aprendizaje automático como la razón por la cual la compañía vio esta campaña en primer lugar.

Hoy, el producto antivirus de Microsoft ha evolucionado a partir de las técnicas antiguas y anticuadas de detección de malware basadas en firmas de archivos.

Ganacharya dice que el polimorfismo de malware (malware que muta a intervalos regulares) y el malware sin archivos (malware que se ejecuta únicamente en la RAM, sin rastros en el disco) ahora se usan ampliamente. Esto coloca a los proveedores de antivirus siempre un paso por detrás de la mayoría de las operaciones de malware, si el antivirus se basa únicamente en detectar la presencia de un archivo incorrecto conocido.

«El panorama de amenazas ha cambiado significativamente con ataques sin archivos, con polimorfismo. En más del 96 por ciento de las amenazas que vemos en todo el mundo (…), es un archivo único por máquina», dijo Ganacharya.

En cambio, Ganacharya dice que Microsoft Defender ahora confía en el aprendizaje automático para detectar comportamientos sospechosos que ocurren en un host y generar alertas para que sus ingenieros investiguen.

En todo esto, los modelos de aprendizaje automático de Defender son ahora el arma principal de la compañía contra ataques de malware desconocidos y actores de amenazas, lo que ayuda a Microsoft a detectar ataques en sus puntos más tempranos.

«Hemos estado haciendo muchas inversiones en los últimos tres o cuatro años», dijo el ejecutivo de Microsoft. «Hemos estado haciendo muchas inversiones en términos de agregar motores a Defender, alrededor de capturar la secuencia de comportamientos, capturar el contenido del archivo en sí, el motor modelo de aprendizaje automático del lado del cliente, los motores modelo de aprendizaje automático del lado de la nube.

«Entonces, la forma en que pensamos al respecto es para las amenazas desconocidas, para las amenazas nuevas y emergentes, confiamos en gran medida, en gran medida, en el aprendizaje automático haciendo la clasificación de contenido o la clasificación de secuencia de comportamiento.

«Verá muchas veces en nuestros productos (que) el paciente cero es salvado por algunos de estos tipos de modelos», dijo Ganacharya.





Enlace a la noticia unique