La empresa de ciberseguridad Mandiant descubrió recientemente un actor de amenazas con motivación financiera, UNC4990, utilizando USB dispositivos para infecciones iniciales. El grupo está explotando plataformas en línea legítimas como GitHub., Vimeo, y Ars Technica. El actor de amenazas oculta hábilmente cargas útiles codificadas dentro de contenido aparentemente benigno en estas plataformas., evadir sospechas y aprovechar redes confiables de entrega de contenido.
Una mirada a los ataques basados en USB UNC4990
Los atacantes inician su campaña a través de dispositivos USB que contienen archivos de acceso directo LNK maliciosos., de acuerdo a el informe. Cuando las víctimas ejecutan inadvertidamente el atajo, se activa un script de PowerShell llamado explorer.ps1. Este script descarga una carga intermedia, que se decodifica en una URL para buscar el descargador de malware llamado 'EMPTYSPACE.’
UNC4990 emplea varios métodos de alojamiento para cargas intermedias, incluidos archivos de texto codificados en GitHub y GitLab. Sin embargo, han cambiado de estrategia para abusar de Vimeo y Ars Technica para alojar cargas útiles de cadenas codificadas en Base64 y cifradas con AES.. Notablemente, Los atacantes no aprovechan las vulnerabilidades de estas plataformas, sino que utilizan funciones habituales como los perfiles del foro de Ars Technica y las descripciones de los vídeos de Vimeo..
Estas cargas útiles, cadenas de texto inofensivas en las plataformas de alojamiento, Desempeñar un papel crítico en la cadena de ataque., facilitar la descarga y ejecución de malware. Incorporando cargas útiles dentro de contenido legítimo y utilizando plataformas acreditadas., UNC4990 evita sospechas y aprovecha redes confiables, lo que dificulta que los sistemas de seguridad los marquen como sospechosos.
La cadena de ataque UNC4990 avanza con el despliegue de QUIETBOARD, una puerta trasera sofisticada con diversas capacidades. Esta puerta trasera multicomponente, una vez activado, ejecuta comandos desde el comando y control (C2) servidor, altera el contenido del portapapeles para el robo de criptomonedas, infecta unidades USB para propagar malware, realiza capturas de pantalla para robo de información, y recopila información detallada del sistema y de la red.. QUIETBOARD demuestra persistencia durante los reinicios del sistema y admite la adición de nuevas funcionalidades a través de módulos adicionales.
A pesar de las medidas de prevención convencionales, malware basado en USB sigue representando una amenaza significativa, sirviendo como un medio de propagación eficaz para los ciberdelincuentes. La táctica única de UNC4990, Aprovechar plataformas aparentemente inocuas para cargas útiles intermedias., desafía los paradigmas de seguridad convencionales y subraya la necesidad de una vigilancia continua en el panorama en constante evolución de la ciberseguridad.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: