El actor de amenazas detrás de RomCom RAT (troyano de acceso remoto) ha actualizado su vector de ataque y ahora está abusando de marcas de software conocidas para su distribución.
En una nueva campaña descubierta por BlackBerry, se encontró a los actores de amenazas RomCom creando sitios web que clonan portales de descarga oficiales para SolarWinds Network Performance Monitor (NPM), el administrador de contraseñas KeePass y PDF Reader Pro.
El malware Chaos IoT aprovecha el lenguaje Go para acceder a Windows y Linux y lanzar ataques DDoS
Además, la Unidad 42 descubrió que los atacantes crearon un sitio que se hace pasar por el software Veeam Backup and Recovery.
Además de copiar el código HTML para reproducir los sitios originales, los piratas informáticos también registraron dominios parecidos con errores tipográficos para agregar más autenticidad al sitio malicioso.
Violación de datos a la web MyDeal afecta a 2,2 millones de usuarios
BlackBerry detectó previamente el malware RomCom utilizado en ataques contra instituciones militares en Ucrania.
Hacerse pasar por software legítimo
El sitio web que se hace pasar por SolarWinds NPM ofrece una versión con troyano de la prueba gratuita e incluso enlaces a un formulario de registro de SolarWinds real que, si la víctima completa, lleva a ser contactado por un agente de atención al cliente real.
Sin embargo, la aplicación descargada se modificó para incluir una DLL maliciosa que descarga y ejecuta una copia de RomCom RAT desde la carpeta “C:\Users\user\AppData\Local\Temp\winver.dll”.
Curiosamente, el ejecutable descargado (“Solarwinds-Orion-NPM-Eval.exe”) está firmado con el mismo certificado digital que los operadores de RAT utilizaron en la campaña de Ucrania, que muestra al propietario como “Wechapaisch Consulting & Construction Limited”.
En el caso del sitio clonado para KeePass, que BlackBerry descubrió el 1 de noviembre de 2022, que los líderes de la amenaza están distribuyendo un archivo llamado “KeePass-2.52.zip”.
18 Extensiones para navegar de forma segura y privada en Chrome
El archivo ZIP contiene varios archivos, incluido “hlpr.dat” que es el cuentagotas de RomCom RAT y “setup.exe”. Setup.exe es lo que se espera que el usuario ejecute manualmente después de descargar el archivo.
Los investigadores de BlackBerry también localizaron un segundo sitio KeePass falsificado y un sitio PDF Reader Pro, ambos en ucraniano.
Malware, ¿Qué es el Ransomware?
Esto indica que, si bien RomCom todavía está apuntando a Ucrania, también han cambiado los objetivos para incluir a los usuarios de habla inglesa.
No está claro en este momento cómo los actores de amenazas están atrayendo a las víctimas potenciales a los sitios; pero podría ser a través de phishing, envenenamiento de SEO o publicaciones en foros/redes sociales.
Sin atribución
En agosto de 2022, la Unidad 42 de Palo Alto Networks asoció RomCom RAT con un afiliado de Cuba Ransomware llamado Tropical Scorpius ya que este fue el primer actor en emplearlo.
RomCom RAT era un malware entonces desconocido que admitía comunicaciones basadas en ICMP y ofrecía a los operadores diez comandos para acciones de archivos, generación y falsificación de procesos, exfiltración de datos y lanzamiento de un shell inverso.
Malware: Los Ransomware de Criptovirología más Conocidos
El informe anterior de BlackBerry sobre RomCom RAT argumentó que no había evidencia concreta que apuntara la operación a ningún actor de amenazas conocido.
El nuevo informe menciona Cuba Ransomware e Industrial Spy como potencialmente conectados a esta operación; sin embargo, la motivación detrás de los operadores de RomCom aún no está clara.
Relacionado
5 Pasos para Mejorar la Seguridad en Microsoft Teams En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
ClamAV: El antivirus de código abierto para detectar troyanos, virus, malware, etc ClamAV es un motor antivirus de código abierto para detectar troyanos, virus, malware y otras amenazas maliciosas. ClamAV es un código abierto (GPL) motor anti-virus utilizado en una variedad de situaciones, incluyendo análisis de correo electrónico, la exploración web, y la seguridad de punto final. ClamAV proporciona una serie de utilidades que incluyen un demonio multiproceso flexible y escalable, un escáner de línea de comandos y ¡SEGUIR LEYENDO!
Anuncios de Facebook Impulsa el Nuevo Malware de Robo de Contraseñas Ov3r_Stealer Un nuevo malware para robar contraseñas llamado Ov3r_Stealer se está propagando a través de anuncios de trabajo falsos en Facebook, con el objetivo de robar credenciales de cuentas y criptomonedas. Los anuncios de trabajo falsos son para puestos gerenciales y llevan a los usuarios a una URL de Discord donde un script de PowerShell descarga la carga útil del malware desde un repositorio de GitHub. Los ¡SEGUIR LEYENDO!
Aplicaciones de Android Plagadas de Malware detectadas en Google Play Un troyano de acceso remoto (RAT) de Android llamado VajraSpy fue encontrado en 12 aplicaciones maliciosas, seis de las cuales estuvieron disponibles en Google Play desde el 1 de abril de 2021 hasta el 10 de septiembre de 2023. Descubrimiento del malware El investigador de ESET, Lukas Stefanko, identificó 12 aplicaciones maliciosas para Android que contenían el mismo código RAT VajraSpy. Sorprendentemente, seis de estas aplicaciones ¡SEGUIR LEYENDO!
Ataque KeyTrap tiene Acceso a Internet Interrumpido con un Paquete DNS Una vulnerabilidad grave denominada KeyTrap en la función Extensiones de seguridad del sistema de nombres de dominio (DNSSEC) podría explotarse para denegar el acceso a Internet a las aplicaciones durante un período prolongado. Registrado como CVE-2023-50387, KeyTrap es un problema de diseño en DNSSEC y afecta a todas las implementaciones o servicios populares del sistema de nombres de dominio (DNS). Permite a un atacante remoto provocar ¡SEGUIR LEYENDO!
Ataques de Malware Bumblebee regresan tras una Pausa de 4 Meses El malware Bumblebee regresó después de unas vacaciones de cuatro meses y se dirigió a miles de organizaciones en los Estados Unidos en campañas de phishing. Bumblebee es un cargador de malware descubierto en abril de 2022 y se cree que fue desarrollado por el sindicato de delitos cibernéticos Conti y Trickbot como reemplazo de la puerta trasera BazarLoader. El malware se distribuye comúnmente en campañas ¡SEGUIR LEYENDO!
¿Qué es un Zero Day o ataque informático de Día de Cero? Un ataque de día cero (también conocido como Zero Day) es un ataque que aprovecha una debilidad de seguridad del software potencialmente grave que el proveedor o desarrollador puede desconocer. El desarrollador de software debe apresurarse a resolver la debilidad tan pronto como se descubre para limitar la amenaza a los usuarios de software. La solución se llama parche de software. Los ataques de día cero ¡SEGUIR LEYENDO!