631
Los investigadores advierten a los usuarios empresariales sobre el último ataque de malware dirigido a empresas con sede en Oriente Medio. Este ataque implanta una puerta trasera en la máquina de la víctima al incitar a los usuarios a descargar malware a través de un instalador falso de Palo Alto GlobalProtect.
El instalador falso de Palo Alto GlobalProtect incorpora una puerta trasera
Los investigadores de seguridad de Trend Micro han descubierto una nueva campaña de ataque de malware dirigida a organizaciones. Específicamente, esta campaña maliciosa tiene como objetivo engañar a los usuarios para que ejecuten un instalador falso de Palo Alto GlobalProtect, que a su vez infecta el sistema de destino con malware de puerta trasera.
Una vez que el instalador falso llega a la máquina objetivo, comienza el ataque. No está claro cómo los atacantes persuaden a las víctimas para que descarguen el malware, pero los investigadores sugieren que los correos electrónicos de phishing pueden ser un posible vector de ataque.
Una vez descargado, el instalador malicioso implanta secretamente malware de puerta trasera en el dispositivo y muestra una ventana falsa en la pantalla que indica la instalación de GlobalProtect para engañar al usuario víctima.
El malware está escrito en C# y tiene una variedad de capacidades maliciosas, incluida la ejecución de comandos remotos de PowerShell, la extracción de archivos del sistema y la ejecución de cargas útiles adicionales en el sistema de destino. Por lo tanto, puede alterar las operaciones de la organización objetivo.
Una vez ejecutado con éxito en una máquina específica, el malware busca un posible entorno de pruebas antes de ejecutar la carga útil principal. Una vez que se borra el escaneo, comienza a extraer información del sistema y a compartirla con el servidor C&C mediante cifrado AES.
Además, el malware también aprovecha la herramienta de código abierto Interactsh para enviar balizas periódicamente después de la infección del dispositivo.
El C&C del malware utiliza una URL recién registrada que contiene la cadena “sharjahconnect” para parecerse a un portal VPN. Esta referencia específica a “Sharjah” indica que los actores de amenazas detrás de esta campaña están dirigidos específicamente a organizaciones en el Medio Oriente.
Los investigadores compartieron un análisis técnico detallado de la campaña en una publicación.
Medidas de seguridad recomendadas para su organización
A medida que cambia el panorama de amenazas a la ciberseguridad, implementar las mejores prácticas de seguridad se vuelve esencial para las grandes empresas, incluidas las pequeñas y medianas. Trend Microsoft también recomienda esto para todas las organizaciones.
Específicamente, los investigadores instan a las organizaciones a realizar sesiones periódicas de concientización y capacitación para sus empleados, ya que el éxito de este y otros ataques similares depende principalmente de explotar el elemento humano.
Además, las organizaciones deben adoptar el “principio de privilegio mínimo”, limitar el acceso innecesario del personal a datos/dispositivos confidenciales, implementar soluciones de seguridad web y de correo electrónico y abordar claramente las amenazas potenciales. Se debe implementar un plan definido de respuesta a incidentes.
Háganos saber su opinión en la sección de comentarios.
https://latesthackingnews.com/2024/09/02/hackers-implant-backdoor-via-fake-palo-alto-globalprotect-lure/
