Los investigadores de ciberseguridad han revelado una nueva campa\u00f1a que potencialmente se dirige a usuarios de Oriente Medio a trav\u00e9s de un malware que se hace pasar por Palo Alto Networks Protecci\u00f3n global<\/a> herramienta de red privada virtual (VPN).<\/p>\n “El malware puede ejecutar comandos remotos de PowerShell, descargar y exfiltrar archivos, cifrar comunicaciones y eludir soluciones sandbox, lo que representa una amenaza importante para las organizaciones objetivo”, dijo el investigador de Trend Micro Mohamed Fahmy. dicho<\/a> en un informe t\u00e9cnico.<\/p>\n Se ha observado que la sofisticada muestra de malware emplea un proceso de dos etapas e implica la configuraci\u00f3n de conexiones a una infraestructura de comando y control (C2) que pretende ser un portal VPN de la empresa, lo que permite a los actores de la amenaza operar libremente sin activar ninguna alarma.<\/p>\n Actualmente se desconoce el vector de intrusi\u00f3n inicial de la campa\u00f1a, aunque se sospecha que implica el uso de t\u00e9cnicas de phishing para enga\u00f1ar a los usuarios y hacerles creer que est\u00e1n instalando el agente GlobalProtect. La actividad no se ha atribuido a un actor o grupo de amenazas espec\u00edfico.<\/p>\n El punto de partida es un binario setup.exe que implementa el componente de puerta trasera principal llamado GlobalProtect.exe, el cual, cuando se instala, inicia un proceso de balizamiento que alerta a los operadores sobre el progreso.<\/p>\n El ejecutable de la primera etapa tambi\u00e9n es responsable de colocar dos archivos de configuraci\u00f3n adicionales (RTime.conf y ApProcessId.conf) que se utilizan para filtrar informaci\u00f3n del sistema a un servidor C2 (94.131.108[.]78), incluida la direcci\u00f3n IP de la v\u00edctima, la informaci\u00f3n del sistema operativo, el nombre de usuario, el nombre de la m\u00e1quina y la secuencia de tiempo de suspensi\u00f3n.<\/p>\n “El malware implementa una t\u00e9cnica de evasi\u00f3n para evitar el an\u00e1lisis de comportamiento y las soluciones sandbox verificando la ruta del archivo del proceso y el archivo espec\u00edfico antes de ejecutar el bloque de c\u00f3digo principal”, se\u00f1al\u00f3 Fahmy.<\/p>\n La puerta trasera sirve como conducto para cargar archivos, descargar cargas \u00fatiles de la siguiente etapa y ejecutar comandos de PowerShell. La se\u00f1alizaci\u00f3n al servidor C2 se realiza mediante el Interactuar<\/a> Proyecto de c\u00f3digo abierto.<\/p>\n “El malware se dirige a una URL recientemente registrada, ‘sharjahconnect’ (probablemente en referencia al emirato de Sharjah, Emiratos \u00c1rabes Unidos), dise\u00f1ada para parecerse a un portal VPN leg\u00edtimo para una empresa con sede en los Emiratos \u00c1rabes Unidos”, dijo Fahmy.<\/p>\n “Esta t\u00e1ctica est\u00e1 dise\u00f1ada para permitir que las actividades maliciosas del malware se mezclen con el tr\u00e1fico de red regional esperado y mejoren sus caracter\u00edsticas de evasi\u00f3n”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevo-malware-se-hace-pasar-por-VPN-de-Palo-Alto.jpg\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n