Nuevo malware convierte dispositivos Windows y macOS en nodos proxy

Iniciado por AXCESS, Agosto 21, 2023, 03:48:34 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 21, 2023, 03:48:34 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores de seguridad cibernética de AT&T Alien Labs han arrojado luz sobre un fenómeno alarmante en el que los actores malintencionados están aprovechando las máquinas Windows y macOS infectadas con malware como nodos de salida de proxy para redirigir las solicitudes de proxy.

Estos actores, que utilizan una aplicación de servidor proxy, aprovechan de forma encubierta los sistemas comprometidos para establecer nodos de salida de proxy, lo que les permite redirigir las solicitudes de proxy.

El vector de ataque implica la entrega de servidores proxy a través de varias cepas de malware que se dirigen a usuarios desprevenidos atraídos por ofertas de software y juegos descifrados. La aplicación proxy, codificada con el versátil lenguaje de programación Go, garantiza la compatibilidad entre múltiples sistemas operativos, incluidos macOS y Windows.

Una observación llamativa es la diferencia en las tasas de detección entre los sistemas macOS y Windows. Mientras que la versión de Windows de la aplicación proxy evade sin esfuerzo las medidas de seguridad debido a su naturaleza firmada, la variante de macOS se detecta más fácilmente.

De acuerdo con la publicación del blog de AT&T, una vez que se ejecuta en un sistema comprometido, el malware instala discretamente la aplicación proxy, eludiendo la interacción del usuario y, al mismo tiempo, introduce componentes adicionales de malware o adware. Para lograr este proceso encubierto, los creadores de malware emplean Inno Setup, un instalador de Windows ampliamente utilizado. Esta herramienta permite la creación de ejecutables empaquetados, lo que facilita la instalación y la persistencia del proxy dentro del sistema.

La naturaleza del servidor proxy controlado por malware se extiende a su comunicación con el servidor de comando y control (C&C). La aplicación proxy no solo transmite parámetros específicos al C&C, sino que también recopila información crítica sobre el sistema comprometido, incluidos los procesos, el uso de la CPU y la memoria, e incluso el estado de la batería. Esta recopilación de datos adaptativa garantiza el rendimiento y la capacidad de respuesta óptimos del proxy al mismo tiempo que evade las sospechas.

La monetización de servidores proxy infundidos con malware a través de programas de afiliados plantea un desafío importante. La aplicación de proxy, empaquetada con Inno Setup, persiste a través de múltiples mecanismos, incluidas claves de registro y tareas programadas, lo que permite que el proxy funcione continuamente como un canal encubierto para ganancias financieras no autorizadas.

Información recopilada se envía al servidor C&C (Captura de pantalla: AT&T Alien Labs)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La divulgación de la campaña se basa en hallazgos anteriores de AT&T Alien Labs, en los que los sistemas macOS infectados con el adware AdLoad se reutilizaron como nodos de salida para una gran red de bots proxy residencial.

Este patrón apunta potencialmente a que los operadores de AdLoad organizan una campaña de pago por instalación. AdLoad, una notoria cepa de adware que se hace pasar por aplicaciones legítimas, se ha aprovechado de los usuarios desprevenidos para navegarlos hacia sitios web maliciosos y, en última instancia, beneficiarse de estos esquemas.

Este panorama de amenazas en evolución es particularmente preocupante para los usuarios de macOS, ya que la Dark Web ha visto un aumento exponencial en la publicidad de cepas de ladrones de información (Stealers) y herramientas sofisticadas destinadas a eludir los mecanismos de seguridad de macOS.

Los últimos años han sido testigos de un enfoque intensificado en la orientación de dispositivos macOS debido a su creciente prevalencia en entornos corporativos, junto con el alto potencial de ganancias de actividades maliciosas.

Fuente:
HackRead
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario