Los ataques de archivos URL distribuyen Quant Loader

Publicado por: La Redacción - info@generacionyrd.com

Se está utilizando una avalancha de ataques que utilizan phishing, ingeniería social, exploits y ofuscación para distribuir un troyano Quant Loader capaz de distribuir ransomware y robar contraseñas.

Los investigadores de seguridad de la información en Barracuda el mes pasado comenzaron a detectar archivos atajos de Internet maliciosos comprimidos de Microsoft con un “. url “extensión de archivo que alega ser documentos de facturación pero en realidad conduce a archivos de script remotos.

Los archivos en realidad usan una variación en la prueba de concepto CVE-2016-3353 que, contiene enlaces a archivos JavaScript y en algunos casos archivos de Windows Script, están ofuscados, y todos resultan en la descarga y ejecución de Quant Loader cuando se les permite ejecuta, de acuerdo con una publicación de blog

Los profesionales detectaron el ataque en una serie de mini campañas, cada una de las cuales duró menos de un día y usaron un solo dominio que sirve archivos de script maliciosos sobre Samba y una única variante de Quant distribuida desde un puñado de dominios. Los ataques también utilizaron un patrón de nombre de archivo y contenido de correo electrónico con algunos correos electrónicos que no tienen contenido de texto y solo una línea de asunto, dijeron expertos en seguridad de la información.

Rod Soto, analista de seguridad de la información en JASK, dijo que el ataque coincide con las observaciones actuales de otras campañas maliciosas en las que se utilizan lenguajes de scripting para ejecutar cargas de explotación e infección y eludir las protecciones estándar del navegador.

“Los lenguajes de scripting se perciben como menos peligrosos que los archivos reales, ya que el sistema operativo generalmente los confía y operan bajo los derechos de usuario actuales, por lo que se necesita una inspección más profunda en el código real para evaluar su malicia”, dijo Soto. “los tipos de ataques están creciendo en popularidad y también se llaman malware sin archivos “.

Fuente: http://noticiasseguridad.com