Los delincuentes utilizan sitios web comprometidos para distribuir malware bajo la apariencia de actualizaciones de aplicaciones populares, como Adobe Flash, Chrome y Firefox. Los investigadores de seguridad de la información descubren que, en varios casos, la herramienta legítima de acceso remoto (RAT) de NetSupport Manager se distribuyó a través de actualizaciones.
NetSupport Manager es una herramienta legítima, disponible comercialmente, utilizada por los administradores para acceder de forma remota a las computadoras de los usuarios. Pero los hackers han aprovechado esta herramienta instalándola en las computadoras de las víctimas.
Según una publicación, los atacantes distribuyen la herramienta a través de sitios hackeados y la disfrazan como actualizaciones de aplicaciones populares. Si un usuario instala una actualización, se descarga un archivo JavaScript malicioso en su dispositivo.
El malware recopila información del sistema y la envía a un servidor de C & C. Después de recibir más comandos del servidor, luego ejecuta otro archivo JavaScript para entregar la carga final.
Los desarrolladores del malware han usado varios niveles de ofuscación en el archivo JavaScript original e intentaron complicar el análisis del segundo archivo JavaScript.
Además, el archivo JavaScript inicia una conexión con el servidor de C & C y envía el valor de tid con la fecha actual del sistema en un formato encriptado. La secuencia de comandos luego descifra la respuesta del servidor y la ejecuta como una función llamada step2.
Esta función recopila información del sistema, como arquitectura, nombre de computadora, nombre de usuario, procesador, sistema operativo, dominio, fabricante, modelo, versión de BIOS, soluciones de seguridad, dirección MAC, teclado, configuración del controlador de pantalla y lista de procesos. En respuesta, el servidor envía una función llamada step3 y un archivo llamado Update.js, que a su vez carga y ejecuta la carga útil maliciosa final.
El malware también usa comandos de PowerShell para descargar archivos del servidor, incluido un archivo ejecutable independiente 7zip que contiene una herramienta de acceso remoto y un script por lotes para instalar el cliente NetSupport en el sistema.
La secuencia de comandos también puede deshabilitar el informe de errores de Windows y la compatibilidad de las aplicaciones, agregar el archivo ejecutable a la lista de programas permitidos, descargar el acceso directo a la carpeta Inicio, ocultar archivos específicos, eliminar artefactos.
Mediante el uso de NetSupport Manager, los atacantes pueden obtener acceso remoto a sistemas hackeados, iniciar aplicaciones, recibir datos de ubicación y robar información del sistema.
Los investigadores de seguridad de la información añadieron que el archivo JavaScript también carga un archivo txt que contiene una lista de direcciones IP que pueden ser hackeadas. Estas direcciones IP se encuentran principalmente en los EE. UU., Alemania y los Países Bajos.
“Las RAT se utilizan ampliamente para fines legítimos, a menudo por los administradores del sistema. Sin embargo, dado que son aplicaciones legítimas y fácilmente disponibles, los autores de malware pueden abusar de ellas fácilmente y, a veces, también pueden evitar la sospecha del usuario “, dijo Sudhanshu Dubey, investigador de seguridad de la información de Fireeye.
“Recientemente hablamos sobre el malware UDPoS, una familia que se disfraza consistentemente como una actualización de software para el sistema importante y el software de administración. En general, la técnica probablemente esté a medio camino del espectro inteligente: ha existido por bastante tiempo y no podría describirse como particularmente innovadora en los tiempos modernos, pero los usuarios finales están muy acostumbrados a ver y aceptar solicitudes de actualizaciones de software para el punto donde muchos experimentan ‘fatiga de solicitud de actualización’. Los actores maliciosos no necesitan innovar o cambiar las técnicas señuelo cuando sus trucos existentes continúan siendo efectivos “, dijo.
Barry Shteiman, director de investigación de amenazas en Exabeam, dijo que las organizaciones necesitan poder detectar actividades inusuales de máquinas y usuarios válidos, razón por la cual el análisis del comportamiento ha crecido tan rápidamente en los últimos años.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad