Malware sin archivos, en 2019 apunta a Brasil y Tailandia

Malware sin archivos

Malware sin archivos

Malware sin archivos dirigido a clientes de bancos brasileños y tailandeses con amenazas múltiples

Los investigadores de seguridad descubrieron una nueva cepa de malware sin archivos que apunta a clientes de bancos en Brasil y Tailandia con una herramienta de piratería y al menos dos infostealers.

Trend Micro observó que el malware, detectado como Trojan.BAT.BANLOAD.THBAIAI , se conecta a hxxp: // 35 [.] 227 [.] 52 [.] 26 / mods / al / md [.] Zip para descargar códigos de PowerShell . 

Luego se conecta a hxxp: // 35 [.] 227 [.] 52 [.] 26 / loads / 20938092830482 para ejecutar los códigos y ponerse en contacto con otras URL antes de extraer y cambiar el nombre de sus archivos para que parezcan funciones válidas de Windows. 

Desde allí, obliga a la máquina de la víctima a reiniciarse y crea una pantalla de bloqueo diseñada para engañar al usuario para que le proporcione sus credenciales de inicio de sesión.

Mientras se pone a trabajar para eliminar todos los archivos eliminados, el malware descarga otros dos vectores.

Las amenazas

El primero, detectado como TrojanSpy.Win32.BANRAP.AS , abre Outlook y envía las direcciones de correo electrónico almacenadas a su servidor de comando y control (C&C). 

El segundo, detectado como HKTL_RADMIN , permite que un atacante digital se bloquee en el sistema una vez que el usuario cierra la sesión, obtiene privilegios de administrador y controla la actividad de la pantalla.

Además una vez que el usuario vuelve a iniciar sesión después de reiniciar, el malware también suelta un archivo de proceso por lotes con un comando para cargar Trojan.JS.BANKER.THBAIAI . 

Este troyano controla todos los sitios visitados por la víctima en busca de cadenas relacionadas con la banca. 

Cuando encuentra algo relacionado con una sesión de inicio de sesión, recopila la información y la envía a su servidor de C&C.

El ascenso de los ataques de malware sin archivos

La campaña descrita anteriormente se produce en medio de un aumento en los ataques de malware sin archivos. 

En un informe de seguridad de punto final, por ejemplo, el Instituto Ponemon encontró que las operaciones que involucran técnicas de PowerShell y otras tácticas sin archivos representaron más del 35 por ciento de todos los ataques observados en el año fiscal 2018.

Eso es un 29 por ciento en el año fiscal 2017.

Estos ataques tampoco muestran signos de disminuir. 

Cisco Talos descubrió una campaña de ataque a principios de 2019 en la que los actores malos usaron un comando de PowerShell para cargar malware Ursnif.

Cómo defender contra un troyano bancario

Los profesionales de la seguridad pueden defender a sus organizaciones contra amenazas digitales como los troyanos bancarios parcheando regularmente su software para detectar vulnerabilidades conocidas. 

Para tener éxito, es importante minimizar las TI ocultas con un inventario actualizado de los activos instalados en la red. 

Además, los equipos de seguridad deben diseñar una estrategia de defensa de punto final robusta que combine el aprendizaje automático y el sandboxing de detección de amenazas para protegerse contra los ataques de malware sin archivos.

El contexto cibercriminal de la actualidad, requiere de buenas prácticas y capacitación continua al personal para evitar todo tipo de ataques.

El usuario, sin lugar a dudas, sigue siendo el vector de ataque más simple para el cibercriminal y el eslabón más débil dentro de la cadena de defensa al perímetro de cualquier compañía, sin importar el tamaño o vertical en el que desarrolle sus negocios.

Cada vez con mayor intensidad, surge como alternativa de utilizar la información para hacer inteligencia previa del contexto actual y de esa forma poder reaccionar antes de que los ataques sean perpetrados, como también la clasificación de las amenazas, en base a su grado de compromiso, son vitales para dar sustentabilidad al sistema.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

 

 

Fuente: https://securityintelligence.com/