Investigadores de ciberseguridad han descubierto una nueva campa\u00f1a de phishing que difunde una nueva variante sin archivos de un conocido malware comercial llamado Remcos RAT.<\/p>\n
Remcos RAT “proporciona compras con una amplia gama de funciones avanzadas para controlar de forma remota las computadoras pertenecientes al comprador”, dijo Xiaopeng Zhang, investigador de Fortinet FortiGuard Labs. dicho<\/a> en un an\u00e1lisis publicado la semana pasada.<\/p>\n “Sin embargo, los actores de amenazas han abusado de Remcos para recopilar informaci\u00f3n confidencial de las v\u00edctimas y controlar remotamente sus computadoras para realizar m\u00e1s actos maliciosos”.<\/p>\n El punto de partida del ataque es un correo electr\u00f3nico de phishing que utiliza se\u00f1uelos con temas de \u00f3rdenes de compra para convencer a los destinatarios de que abran un archivo adjunto de Microsoft Excel.<\/p>\n El documento malicioso de Excel est\u00e1 dise\u00f1ado para explotar una conocida falla de ejecuci\u00f3n remota de c\u00f3digo en Office (CVE-2017-0199<\/a>puntuaci\u00f3n CVSS: 7,8) para descargar un archivo de aplicaci\u00f3n HTML (HTA) (“cookienetbookinetchahce.hta”) desde un servidor remoto (“192.3.220[.]22”) y ejec\u00fatelo usando mshta.exe.<\/p>\n El archivo HTA, por su parte, est\u00e1 envuelto en m\u00faltiples capas de c\u00f3digo JavaScript, Visual Basic Script y PowerShell para evadir la detecci\u00f3n. Su principal responsabilidad es recuperar un archivo ejecutable del mismo servidor y ejecutarlo.<\/p>\n Posteriormente, el binario procede a ejecutar otro programa PowerShell ofuscado, al tiempo que adopta una serie de t\u00e9cnicas antian\u00e1lisis y antidepuraci\u00f3n para complicar los esfuerzos de detecci\u00f3n. En el siguiente paso, el c\u00f3digo malicioso aprovecha el proceso de vaciado para finalmente descargar y ejecutar Remcos RAT.<\/p>\n “En lugar de guardar el archivo Remcos en un archivo local y ejecutarlo, implementa Remcos directamente en la memoria del proceso actual”, dijo Zhang. “En otras palabras, es una variante sin archivos de Remcos”.<\/p>\n Remcos RAT est\u00e1 equipado para recopilar diversos tipos de informaci\u00f3n del host comprometido, incluidos los metadatos del sistema, y \u200b\u200bpuede ejecutar instrucciones emitidas de forma remota por el atacante a trav\u00e9s de un servidor de comando y control (C2).<\/p>\n Estos comandos permiten al programa recopilar archivos, enumerar y finalizar procesos, administrar servicios del sistema, editar el Registro de Windows, ejecutar comandos y scripts, capturar contenido del portapapeles, alterar el fondo de escritorio de la v\u00edctima, habilitar la c\u00e1mara y el micr\u00f3fono, descargar cargas \u00fatiles adicionales, grabar la pantalla, e incluso desactivar la entrada del teclado o del rat\u00f3n.<\/p>\n La divulgaci\u00f3n se produce cuando Wallarm revel\u00f3 que los actores de amenazas est\u00e1n abusar de las API de Docusign<\/a> enviar facturas falsas que parecen aut\u00e9nticas en un intento de enga\u00f1ar a usuarios desprevenidos y realizar campa\u00f1as de phishing a escala.<\/p>\n El ataque implica la creaci\u00f3n de una cuenta Docusign leg\u00edtima y paga que permite a los atacantes cambiar las plantillas y utilizar la API directamente. Luego, las cuentas se utilizan para crear plantillas de facturas especialmente dise\u00f1adas que imitan solicitudes de firma electr\u00f3nica de documentos de marcas conocidas como Norton Antivirus. <\/p>\n “A diferencia de las estafas de phishing tradicionales que se basan en correos electr\u00f3nicos enga\u00f1osamente elaborados y enlaces maliciosos, estos incidentes utilizan cuentas y plantillas genuinas de DocuSign para hacerse pasar por empresas de buena reputaci\u00f3n, tomando desprevenidos a los usuarios y las herramientas de seguridad”, dijo la compa\u00f1\u00eda. dicho<\/a>.<\/p>\n “Si los usuarios firman electr\u00f3nicamente este documento, el atacante puede utilizar el documento firmado para solicitar el pago a la organizaci\u00f3n fuera de DocuSign o enviar el documento firmado a trav\u00e9s de DocuSign al departamento de finanzas para el pago”.<\/p>\n Tambi\u00e9n se han observado campa\u00f1as de phishing que aprovechan una t\u00e1ctica poco convencional llamada concatenaci\u00f3n de archivos ZIP para eludir las herramientas de seguridad y distribuir troyanos de acceso remoto a los objetivos.<\/p>\n El m\u00e9todo implica agregar varios archivos ZIP en un solo archivo, lo que introduce problemas de seguridad debido a la discrepancia en la que diferentes programas como 7-Zip, WinRAR y el Explorador de archivos de Windows descomprimen y analizan dichos archivos, lo que resulta en un escenario donde las cargas \u00fatiles maliciosas se pasan por alto.<\/p>\n “Al explotar las diferentes formas en que los lectores ZIP y los administradores de archivos procesan archivos ZIP concatenados, los atacantes pueden incrustar malware dirigido espec\u00edficamente a los usuarios de ciertas herramientas”, Perception Point anotado<\/a> en un informe reciente.<\/p>\n “Los actores de amenazas saben que estas herramientas a menudo pasan por alto o pasan por alto el contenido malicioso oculto dentro de archivos concatenados, lo que les permite entregar su carga \u00fatil sin ser detectados y apuntar a usuarios que usan un programa espec\u00edfico para trabajar con archivos”.<\/p>\n El desarrollo tambi\u00e9n se produce cuando un actor de amenazas conocido como Venture Wolf ha sido vinculado<\/a> a ataques de phishing dirigidos a los sectores rusos de fabricaci\u00f3n, construcci\u00f3n, TI y telecomunicaciones con MetaStealer, una bifurcaci\u00f3n del malware RedLine Stealer.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Los-ciberdelincuentes-utilizan-un-exploit-de-Excel-para-difundir-el.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n