Un video de escándalo falso sirve para malware
Stu Sjouwerman
Investigadores de
Trustwave advierten que una campaña de suplantación de identidad intenta distribuir malware a través de un
archivo para un video de escándalo falso con 'Trump' incluido en el título. El
archivo es un archivo Java (JAR) que instalará el troyano de acceso remoto
Qnode.
Curiosamente,
el contenido del correo electrónico de phishing en sí no tenía nada que ver con
ese nombre de archivo y, en cambio, trató de convertir al objetivo en una
estafa de inversión. Los investigadores creen que los estafadores
simplemente intentan sacar provecho de las recientes elecciones estadounidenses
con el nombre de archivo relacionado con Trump. Aún así, Trustwave dice
que el aspecto de malware de la campaña fue efectivo:
- “Para aumentar las posibilidades de que el
destinatario del correo electrónico ejecute esta amenaza, el nombre del archivo
adjunto se basó en una figura prominente y una GUI que indica que el JAR
malicioso es una herramienta utilizada en las pruebas de penetración.
- “Para evadir la detección, el código malicioso del
descargador se dividió en diferentes búferes dentro del JAR. Además,
la cadena "qnodejs" que puede distinguir los archivos
relacionados con esta amenaza ya no se utilizó.
- “Para desafiar las soluciones existentes de esta
amenaza, se cambiaron los nombres de los otros archivos que creó y
descargó y se colocaron en diferentes ubicaciones, no dentro de la carpeta
de instalación de Node.Js.
- "Para
entregar la carga útil final en el sistema, se modificó la cadena de
infección: el JAR descarga directamente la carga útil".
Los
investigadores concluyen que esta campaña probablemente solo engañaría a los
más crédulos de las víctimas, aunque fácilmente podría resultar más convincente
con algunas mejoras simples. Y en cualquier caso, la mayoría de nosotros
sufrimos episodios de extraordinaria credulidad.
“Si bien
la carga útil de los archivos adjuntos tiene algunas mejoras con respecto a las
versiones anteriores, la campaña de correo electrónico en sí era bastante
amateur y creemos que la probabilidad de que esta amenaza se entregue con éxito
es mayor si solo el correo electrónico fuera más sofisticado”, escriben. “El
envío de spam de archivos JAR maliciosos, que a menudo conducen a RAT como
este, es bastante común. Los administradores de correo electrónico
deberían intentar tomar una línea dura contra los archivos JAR entrantes y
bloquearlos en sus puertas de enlace de seguridad de correo electrónico ".
Sin
embargo, las defensas técnicas no detendrán todas las amenazas. La capacitación
de concienciación sobre seguridad de la nueva escuela puede enseñar a
sus empleados a evitar caer en el cebo de clics y nunca descargar archivos que
no sean de confianza.
Comentarios
Publicar un comentario