Los ciberdelincuentes han sido bastante activos en el desarrollo de nuevos el malware muestras y mejorando sus enfoques maliciosos. Según las estadísticas de PurpleSec, actividad del ciberdelito en todo 2021 ha estado arriba 600% debido a la pandemia de COVID-19.
Como resultado, Los investigadores de ciberseguridad han analizado algunos nuevos, piezas de malware nunca antes vistas. Hemos seleccionado 10 nuevas amenazas con diversas capacidades que se detectaron en la naturaleza en los últimos meses, orientado a Android, Mac OS, Ventanas, y Linux:
- Dos nuevos cargadores de malware: Wslink y SquirrelWaffle;
- Un rootkit de Linux, llamado FontOnLake / HCRootkit;
- Dos troyanos bancarios de Android: GriftHorse y Ermac;
- Dos puertas traseras sofisticadas: FoggyWeb y Solarmarker;
- el meris DDoS botnet;
- El ransomware LockFile que utiliza un cifrado único;
- El detectado en 2020 Software malicioso para Mac XCSSET, ahora actualizado con nuevas capacidades.
Renuncia: Las ciberamenazas enumeradas en este artículo son una pequeña parte de todo el malware que surgió en 2021. nuestra principal 10 selección de 2021 El malware es un mero ejemplo del panorama de amenazas en constante evolución..
Cargador de malware Wslink
En octubre se descubrió un cargador de malware previamente desconocido, 2021. Llamado Wslink, la herramienta es "simple pero notable,"Capaz de cargar binarios de Windows maliciosos. El cargador se ha utilizado en ataques contra Europa Central, Norteamérica, y Oriente Medio.
Lo que es único en este cargador previamente indocumentado es su capacidad para ejecutarse como un servidor y ejecutar módulos recibidos en la memoria.. Según el informe elaborado por los investigadores de ESET, el vector de compromiso inicial también se desconoce. Los investigadores no pudieron obtener ninguno de los módulos que se supone que debe recibir el cargador.. Sin código, La funcionalidad o las similitudes operativas sugieren que el cargador fue codificado por un actor de amenazas conocido..
Cargador de malware SquirrelWaffle
Otro cargador de malware surgió en octubre 2021, con el potencial de convertirse en "la próxima gran novedad" en las operaciones de spam. apodado ArdillaGofre, la amenaza es el "envío no deseado" de documentos maliciosos de Microsoft Office. El objetivo final de la campaña es entregar el conocido malware Qakbot, así como Cobalt Strike. Estos son dos de los culpables más comunes utilizados para atacar organizaciones en todo el mundo..
Según los investigadores de Cisco Talos, Edmund Brumaghin, Mariano Graziano y Nick Mavis, "SquirrelWaffle proporciona a los actores de amenazas un punto de apoyo inicial en los sistemas y sus entornos de red". Este punto de apoyo se puede utilizar más tarde para facilitar un mayor compromiso e infecciones de malware., dependiendo de las preferencias de monetización de los piratas informáticos.
"Las organizaciones deben ser conscientes de esta amenaza, ya que probablemente persistirá en todo el panorama de amenazas en el futuro previsible,”Dijeron los investigadores. Una amenaza anterior del mismo calibre es Emotet, que ha estado plagando organizaciones durante años. Dado que las operaciones de Emotet fueron interrumpidas por la policía, Los investigadores de seguridad han estado esperando que surja un nuevo jugador similar. Y tiene…
FontOnLake / HCRootkit Linux Rootkit
FontOnLake / HCRootkit es un nuevo, familia de malware nunca antes vista dirigida a sistemas Linux. Apodado FontOnLake por los investigadores de ESET, y HCRootkit de Avast y Lacework, el malware tiene capacidades de rootkit, diseño avanzado y baja prevalencia, sugiriendo que está destinado principalmente a ataques dirigidos.
Según los investigadores, el rootkit de FontOnLake se actualiza continuamente con nuevas funciones, lo que significa que está en desarrollo activo, y es muy probable que continúe utilizándose en 2022. VirusTotal muestras del malware revelan que su primer uso en la naturaleza se remonta a mayo 2020. Parece que el malware se dirige a entidades del sudeste asiático., pero es posible que pronto se agreguen otras regiones a su lista de objetivos.
El malware otorga acceso remoto a sus operadores, y podría usarse para la recolección de credenciales y como servidor proxy.
GriftHorse Android Trojan
Un infame troyano de Android, llamada GriftCaballo y oculto en una agresiva campaña de servicios premium móviles ha robado cientos de millones de euros. El descubrimiento proviene de los investigadores de Zimperium zLabs que descubrieron que el troyano ha estado utilizando aplicaciones maliciosas de Android para aprovechar las interacciones del usuario para un mayor alcance e infección..
“Estas aplicaciones maliciosas de Android parecen inofensivas al mirar la descripción de la tienda y los permisos solicitados, pero esta falsa sensación de confianza cambia cuando a los usuarios se les cobra mes tras mes por el servicio premium al que se suscriben sin su conocimiento y consentimiento,"Reveló el informe.
La evidencia forense apunta a que el actor de amenazas GriftHorse ha estado operando desde noviembre 2020. No es sorprendente, las aplicaciones maliciosas de Android involucradas se distribuyeron a través de Google Play, pero también se aprovecharon las tiendas de aplicaciones de terceros. Tras una divulgación a Google, la empresa eliminó las aplicaciones maliciosas de Play Store. La mala noticia es que las aplicaciones todavía estaban disponibles para su descarga en repositorios de aplicaciones de terceros en el momento del informe original. (Septiembre 2021).
Troyano Android Ermac
ERMAC es otro, Troyano bancario Android no detectado previamente detectado en septiembre 2021. El malware parece haber sido acuñado por los ciberdelincuentes de BlackRock y se basa en las raíces del infame Cerberus..
"Si investigamos ERMAC, podemos descubrir que ERMAC es un heredero en código de un conocido malware Cerberus. Utiliza estructuras de datos casi idénticas cuando se comunica con el C2, usa los mismos datos de cadena, etcétera,”Dijo ThreatFabric. La primera impresión de los investigadores fue que el nuevo troyano es otra variante de Cerberus. A pesar de tener un nombre diferente y utilizar diferentes técnicas de ofuscación y un nuevo cifrado de cadenas, ERMAC es otro troyano basado en Cerberus.
La diferencia con el Cerberus original es que ERMAC utiliza otro esquema de cifrado cuando se comunica con el servidor de comando y control.. Los datos están encriptados con AES-128-CBC, y antepuesto con una palabra doble que contiene la longitud de los datos codificados, según el informe.
Una conexión definitiva con los operadores de malware BlackRock es el uso de la misma dirección IP que el comando y control..
Puerta trasera posterior a la explotación de FoggyWeb
Una nueva puerta trasera en la naturaleza atribuida al actor de amenazas NOBELIUM, se cree que está detrás de la puerta trasera de SUNBURST, Malware Lágrima, y "componentes relacionados".
Según Microsoft Threat Intelligence Center (MSTIC), la llamada FoggyWeb es una puerta trasera posterior a la explotación. El actor de amenazas NOBELIUM emplea múltiples técnicas para llevar a cabo el robo de credenciales. Su objetivo actual es obtener acceso de nivel de administrador a los servicios de federación de Active Directory (AD FS) servidores.
La puerta trasera también se describe como "pasiva" y "altamente dirigida,”Con capacidades sofisticadas de exfiltración de datos. "También puede recibir componentes maliciosos adicionales de un comando y control (C2) servidor y ejecutarlos en el servidor comprometido,”Agregaron los investigadores. También es digno de mención que el malware opera permitiendo el abuso del lenguaje de marcado de aserción de seguridad. (SAML) token en AD FS.
“La protección de los servidores AD FS es clave para mitigar los ataques NOBELIUM. Detectar y bloquear malware, actividad del atacante, y otros artefactos maliciosos en los servidores de AD FS pueden romper pasos críticos en las conocidas cadenas de ataque NOBELIUM,"Microsoft concluyó.
Puerta trasera de marcador solar
Solarmarker es un registrador de teclas y una puerta trasera altamente modular con una, Cargador de PowerShell muy ofuscado que ejecuta la puerta trasera .NET.
Marcadores solares Las actividades fueron observadas de forma independiente por investigadores de Crowdstrike y Cisco Talos.. Ambas empresas detectaron Solarmarker el año pasado, en octubre y septiembre, respectivamente. Sin embargo, Talos dice que algunos datos de telemetría de DNS incluso apuntan a abril 2020. Fue entonces cuando los investigadores descubrieron tres componentes principales de DLL y múltiples variantes que presentaban un comportamiento similar..
"La campaña en curso de Solarmarker y la familia de malware asociada son preocupantes. Inicialmente fue capaz de operar y evolucionar durante un período de tiempo significativo sin ser detectado relativamente.,”Los investigadores señalan en conclusión. También esperan ver más acciones y desarrollos por parte de los autores de Solarmarker, quienes probablemente incluirán nuevas tácticas y procedimientos para el malware..
Botnet Meris DDoS
A finales de junio, 2021, Los investigadores de seguridad de la empresa rusa Qrator comenzaron a observar "una red de bots de un nuevo tipo". A continuación, se realizó una investigación conjunta con Yandex para descubrir más sobre esta nueva amenaza DDoS "emergente casi en tiempo real"..
Bastante sustancial, fuerza de ataque en constante crecimiento, como lo expresó Qrator, fue descubierto en forma de diez de miles de dispositivos host. La botnet ha sido apodada Meris, que significa plaga en letón.
"Por separado, Qrator Labs vio el 30 000 dispositivos de host en números reales a través de varios ataques, y Yandex recopiló los datos sobre 56 000 atacando hosts,”Según el informe oficial. Es muy probable que este número sea aún mayor, alcanzando 200,000. Es de destacar que los dispositivos de esta botnet son altamente capaces y no son los dispositivos estadísticamente promedio conectados a través de Ethernet..
El nuevo Mirai?
"Algunas personas y organizaciones ya llamaron a la botnet" un regreso de Mirai ", que no creemos que sea exacto,"Qrator señaló. Dado que los investigadores no han visto el código malicioso detrás de esta nueva botnet, no pueden decir con certeza si está relacionado de alguna manera con Mirai. Sin embargo, dado que los dispositivos que agrupa provienen de un solo fabricante, Mikrotek, es más probable que la botnet Meris no tenga nada que ver con Mirai.
LockFile ransomware
El LockFile ransomware surgió en julio 2021. El ransomware ha estado explotando las vulnerabilidades de ProxyShell en los servidores de Microsoft Exchange en sus ataques.. Las fallas se implementan "para violar los objetivos sin parchear, servidores de Microsoft Exchange locales, seguido de un ataque de retransmisión PetitPotam NTLM para tomar el control del dominio,"Según Mark Loman de Sophos.
Lo que es más notable sobre este ransomware, sin embargo, es su cifrado. Hasta ahora, ningún ransomware conocido ha utilizado el cifrado intermitente, y ha sido elegido por los actores de la amenaza con fines de evasión.
¿Cómo funciona el cifrado intermitente?? El criptovirus cifra cada 16 bytes de un archivo en un intento de evadir la detección por las soluciones de protección contra ransomware. Al parecer,, un documento cifrado de esta manera se parece mucho al original cifrado.
La evasión es posible en los casos en que las herramientas anti-ransomware utilizan el llamado "chi-cuadrado (chi ^ 2)"Análisis, alterar la forma estadística en que se realiza este análisis y, por lo tanto, confundirlo.
También es digno de mención que el ransomware no necesita conectarse a un servidor de comando y control., haciendo que su comportamiento bajo el radar sea aún más sofisticado, lo que significa que puede cifrar datos en máquinas que no tienen acceso a Internet.
Malware para Mac XCSSET
En marzo, 2021, Los investigadores de Sentinel Labs se dieron cuenta de un proyecto de Xcode con troyanos dirigido a desarrolladores de iOS. El proyecto era una versión maliciosa de un legítimo, proyecto de código abierto disponible en GitHub, permitiendo a los programadores de iOS utilizar varias funciones avanzadas para animar la barra de pestañas de iOS.
En abril se detectó una campaña similar., dirigidos a desarrolladores de Xcode, equipado con Mac que ejecutan los nuevos chips M1 de Apple. El malware también es capaz de robar información confidencial de aplicaciones de criptomonedas..
Cabe señalar que el llamado Malware XCSSET fue descubierto por primera vez en agosto, 2020, cuando se propagaba a través de proyectos IDE de Xcode alterados. El malware generalmente actúa reempaquetando los módulos de carga útil para que aparezcan como aplicaciones legítimas de Mac, que terminan infectando proyectos locales de Xcode.
Los módulos del malware incluyen el robo de credenciales., captura de pantalla, inyectar JavaScript malicioso en sitios web, robar datos de la aplicación, y en algunos casos, incluso capacidades de ransomware.
Las variantes más nuevas de XCSSET se compilan específicamente para chips Apple M1. Esta es una clara señal de que los operadores de malware están adaptando su malware para adaptarse a las últimas tecnologías de Apple..
En conclusión…
Todos los casos de malware descritos anteriormente muestran la importancia de una protección adecuada, prevención y excelentes hábitos de higiene online. En estos tiempos inquietantes, no olvidemos lo importante que es pensar en nuestra seguridad en línea, demasiado.
PD: Si este artículo le resultó útil, asegúrese de leer: