Casa > Ciber Noticias > El malware de Kraken sin archivos está explotando el servicio de informe de errores de Windows
CYBER NOTICIAS

El malware sin archivos Kraken está explotando el servicio de informe de errores de Windows

Los investigadores de seguridad acaban de descubrir un nuevo ataque sin archivos que aprovecha el Informe de errores de Microsoft Windows (OMS).

El grupo de piratas informáticos detrás del llamado ataque Kraken aún no se ha identificado.

Los investigadores de seguridad Hossein Jazi y Jérôme Segura dicen que el ataque se basa en malware que se esconde en ejecutables basados ​​en WER.. De esta forma pasa desapercibido sin crear sospechas.




Explicación del ataque sin archivos de Kraken

El ataque se inicia con un documento de phishing atractivo en un archivo .ZIP, titulado "Manual de compensación.doc". Como se ve en muchos ataques de phishing, el documento afirma contener información sobre los derechos de compensación de los empleados. Sin embargo, si un empleado de una organización lo abre, activarán una macro maliciosa. Habilitar macros es uno de los trucos más antiguos en campañas maliciosas basadas en phishing..

En este caso, la macro utiliza una versión personalizada del módulo VBA CactusTorch que inicia un ataque sin archivos a través de shellcode. CactusTorch luego descarga un binario compilado .Net, apodado Kraken.dll, que se carga en la memoria y se ejecuta a través de VBScript. La carga útil inyecta un shellcode incrustado en el archivo WerFault.exe, que está conectado al servicio WER de Microsoft. El shellcode también realiza una solicitud HTTP a un dominio codificado, tal vez hecho para descargar malware adicional.

"Informe de errores de Windows (OMS) es una infraestructura de retroalimentación flexible basada en eventos diseñada para recopilar información sobre los problemas de hardware y software que Windows puede detectar, reportar la información a Microsoft, y proporcionar a los usuarios las soluciones disponibles," microsoft dice.

En general, cuando un usuario de Windows ve el WerFault.exe ejecutándose, pueden pensar que ocurrió algún error. Sin embargo, en este caso particular, la ejecución de este archivo significa un ataque de malware dirigido. Cabe destacar que NetWire RAT y Cerber ransomware han implementado la misma técnica..

Otras actividades maliciosas observadas en esta campaña sin archivos incluyen ofuscación de código, DLL operando en múltiples subprocesos, sondeo de entornos sandbox y depurador, y escanear el registro en busca de máquinas virtuales VMWare u Oracle VirtualBox disponibles. También, si se encuentran actividades de análisis, serán terminados.

Atacantes desconocidos están detrás de los ataques sin archivos de Kraken

Porque la URL de destino codificada de forma rígida del malware se eliminó mientras los investigadores realizaban el análisis., Actualmente es imposible atribuir el ataque a un grupo de amenazas en particular.. Sin embargo, algunos elementos del ataque Kraken recuerdan a OceanLotus, un grupo APT vietnamita.

El malware OceanLotus Se ha centrado en infectar redes específicas en campañas de ataques dirigidos.. El colectivo criminal que lo respalda lleva a cabo campañas contra empresas corporativas y agencias gubernamentales en Asia.: Laos, Camboya, Vietnam, y Filipinas. Lo que es conocido acerca de estos ataques particulares es que están orquestados por un grupo de hackers con mucha experiencia.

Por qué el malware sin archivos?

La idea detrás sin archivo de malware es simple: si las herramientas ya existen en un dispositivo, tales como PowerShell.exe, para cumplir con los objetivos de un atacante, entonces ¿por qué caer herramientas personalizadas que podrían ser marcados como malware? Si un ciberdelincuente puede hacerse cargo de un proceso de, ejecutar código en su espacio de memoria, y luego utilizar ese código para llamar a las herramientas que ya están en un dispositivo, el ataque se convierte sigiloso y casi imposible de detectar.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo