Malware SmokeLoader aprovecha los fallos de MS Office para robar credenciales

Iniciado por AXCESS, Diciembre 02, 2024, 11:10:59 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los investigadores de ciberseguridad de FortiGuard Labs de Fortinet han descubierto una serie de nuevos ataques de malware dirigidos a empresas de Taiwán. Los ataques, que se han vinculado al malware SmokeLoader, han afectado a sectores que van desde la fabricación y la atención sanitaria hasta la informática y más allá.

SmokeLoader, conocido por su capacidad para distribuir otras cargas útiles maliciosas, está asumiendo un papel más directo en esta campaña, utilizando sus propios complementos para ejecutar ataques y robar datos confidenciales.

Según la investigación de FortiGuard Labs, los ataques comenzaron con correos electrónicos de phishing que contenían archivos adjuntos maliciosos, diseñados para explotar vulnerabilidades en Microsoft Office. Entre ellas se encontraban CVE-2017-0199, que permitía que documentos maliciosos descargaran y ejecutaran automáticamente cargas útiles dañinas, y CVE-2017-11882, que explotaba una vulnerabilidad en el editor de ecuaciones de Microsoft Office para la ejecución remota de código.

Los correos electrónicos, según la publicación del blog de FortiGuard Labs compartida con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, se enteraron de esta publicación el lunes, escritos en taiwanés nativo, eran convincentes pero contenían inconsistencias, como diferentes esquemas de fuente y color, que sugerían que el texto había sido copiado de otro lugar.

Una vez que se abrió el archivo adjunto malicioso, se descargó y ejecutó el malware SmokeLoader, lo que le permitió comunicarse con su servidor de comando y control (C2). Desde allí, el malware descargó varios complementos, cada uno diseñado para apuntar a aplicaciones específicas y extraer información confidencial.

Se descubrió que los complementos utilizados por SmokeLoader apuntaban a navegadores web populares, clientes de correo electrónico y software de protocolo de transferencia de archivos (FTP), incluidos Internet Explorer, Firefox, Chrome, Opera, Outlook, Thunderbird y FileZilla. El malware pudo extraer credenciales de inicio de sesión, datos de llenado automático e incluso direcciones de correo electrónico de estas aplicaciones.

Uno de los complementos, conocido como Plugin 4, fue diseñado para borrar las cookies de los navegadores seleccionados, lo que obliga a las víctimas a volver a ingresar sus credenciales de inicio de sesión. Otro complemento, Plugin 8, se utilizó para inyectar código keylogger en explorer.exe, lo que le permitió al malware capturar las entradas del teclado y el contenido del portapapeles.

También se descubrió que el malware SmokeLoader utiliza técnicas avanzadas para evadir la detección, incluida la ofuscación de código, la antidepuración y la evasión de sandbox. Su diseño modular le permite adaptarse a diferentes escenarios de ataque, lo que lo convierte en una amenaza formidable para las organizaciones.

Flujo de ataque y los correos electrónicos de phishing utilizados en el ataque (vía: FortiGuard Labs de Fortinet)
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

FortiGuard Labs ha detectado y bloqueado el malware, asignándole un nivel de gravedad "Alto". La empresa también ha proporcionado protección a sus clientes, incluidas firmas antivirus y reglas IPS para detectar y prevenir el malware.

En un comentario a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, Casey Ellis, fundador y asesor de Bugcrowd, un líder con sede en San Francisco, California, en ciberseguridad colaborativa, sugiere que el uso de SmokeLoader se alinea con un patrón global más amplio de actores cibernéticos que se preparan para futuros ataques infiltrándose en los sistemas con anticipación.

"Dado el entorno geopolítico, Taiwán no es ajeno a pensar en amenazas persistentes avanzadas (APT) y el uso de SmokeLoader parece seguir el ejemplo de la tendencia general de preposicionamiento que hemos visto en otras partes del mundo".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta