Acorde a los expertos del curso de ethical hacking del Instituto Internacional de Seguridad Cibernética (IICS), un grupo de investigadores ha descubierto una nueva variedad de malware sin archivo (fileless malware) atacando principalmente a los clientes de algunos bancos en países como Brasil y otros en América Latina, empleando una herramienta de hacking y al menos dos herramientas para el robo de información.
Los especialistas del curso de ethical hacking mencionan que el malware (Trojan.BAT.BANLOAD.THBAIAI) se conecta a hxxp://35[.]227[.]52[.]26/mods/al/md[.]zip para descargar códigos de PowerShell. Posteriormente, el malware se conecta a hxxp://35[.]227[.]52[.]26/loads/20938092830482 para ejecutar los códigos y contactar a otras URL antes de cambiar el nombre de sus archivos para que parezcan funciones de Windows legítimas.
Finalmente, el malware hace que el equipo infectado se reinicie para mostrar una pantalla de bloqueo falsa, pensada para que la víctima ingrese sus credenciales de inicio de sesión.
Mientras comienza a eliminar todas sus cargas, el malware descarga otras dos herramientas de hacking. La primera (TrojanSpy.Win32.BANRAP.AS) inicia el Outlook de la víctima y envía las direcciones email almacenadas a su servidor de comando y control. La segunda herramienta (HKTL_RADMIN), permite que un hacker obtenga privilegios de administrador en el sistema comprometido.
Cuando el usuario inicia sesión nuevamente, el malware libera un archivo para cargar la tercera herramienta de hacking (Trojan.JS.BANKER.THBAIAI), que toma control del historial de sitios visitados por la víctima buscando información bancaria. Cuando encuentra algo de su interés, recopila la información y la envía a su C&C.
Esta campaña es una muestra más del pronunciado crecimiento que han experimentado los ataques con malware sin archivos en tiempos recientes; acorde a especialistas en ciberseguridad, alrededor del 35% de los ciberatauqes registrados en 2018 usaron alguna variedad de malware sin archivos.
Acorde a los especialistas del curso de ethical hacking, un servicio de ciberseguridad profesional puede defender a una organización contra la mayoría de esta clase de amenazas mediante la actualización periódica de software. Para complementar esta labor, los equipos de TI de cada organización deben contar con un plan de defensa adecuado, combinando el aprendizaje automático y herramientas como el entorno de sandbox para garantizar la mejor protección contra los ataques de malware sin archivos.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
