Dell investigadores informan acerca de una nueva pieza de malware, llave del mal llamado, que puede omitir la autenticación en los sistemas de Active Directory.
El equipo Dell dice que la llave del mal permitir que los piratas evitar la detección por los sistemas de AD con autenticación solo factor. Tales sistemas se basan únicamente en contraseñas. Los criminales cibernéticos pueden elegir cualquier contraseña y login como cualquier usuario con el fin de hacer lo que quieran en línea.
Llave del mal fue detectado por primera vez en una red que utiliza contraseñas para acceder a cuentas de correo electrónico y servicios de VPN. Una vez activo como un parche en memoria en el controlador de dominio de AD del sistema, el malware da a los atacantes acceso ilimitado a los servicios. Los usuarios pueden continuar con sus actividades sin ser conscientes de la presencia de malware en el sistema.
Los investigadores informan de que los actores tratan a que tienen acceso físico a la máquina infectada pueden iniciar sesión y desbloquear los sistemas de autenticación de los usuarios de PC en contra de los controladores de dominio de AD infectada.
De esta manera los delincuentes cibernéticos pueden hacerse pasar por cualquier usuario sin llamar la atención a sus actividades o restringir el acceso de los usuarios legítimos. El ataque no es nada sofisticado, pero se puede utilizar para pasar por el gerente de la empresa, un director de recursos humanos, o básicamente como cualquier persona que el atacante quiere hacerse pasar sin levantar sospechas. Más importante, los ladrones pueden hacerse cargo de la información sensible.
Llave del mal no transmite el tráfico de red, lo que lo hace difícil de ser detectado por los sistemas de prevención de intrusos IDS / IPS.
Skeleton Key tiene otra debilidad - hay una necesidad constante de redistribución para operar cada vez que el controlador de dominio se inicia. Los investigadores creen que el malware es únicamente compatible con las versiones de Windows de 64 bits.
Los investigadores dicen que en algún momento los actores de amenazas utilizan otros tipos de malware de acceso remoto ya activado en la red de la víctima para redistribuir llave del mal en los controladores de dominio.
Para prevenir una infección llave del mal, los expertos recomiendan el uso de autenticación de múltiples factores.
Spy Hunter escáner GRATIS sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware. Obtenga más información sobre la herramienta de SpyHunter Anti-Malware