Los troyanos de acceso remoto, se extienden a través del abuso de los servicios en la nube de Microsoft Azure y AWS

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Una reciente campaña que aprovecha la infraestructura de la nube pública está desplegando no uno, sino tres troyanos de acceso remoto (RAT) comerciales.

Este abuso permite a los ciberdelincuentes aprovechar los recursos de los servicios en la nube gestionados por proveedores como Microsoft Azure y Amazon Web Services (AWS) con fines maliciosos.

El miércoles, los investigadores de Cisco Talos, Chetan Raghuprasad y Vanja Svajcer, dijeron que en octubre de 2021 se descubrió una nueva campaña basada en la infraestructura de la nube pública y que la mayoría de las víctimas tienen su sede en los Estados Unidos, Canadá e Italia – sin embargo, un puñado parece ser de España y Corea del Sur.

La cadena de ataque comienza de forma típica: a través de un correo electrónico de phishing, a menudo disfrazado de factura.

Estos mensajes llevan adjuntos archivos .ZIP que, una vez abiertos, revelan una imagen ISO. El archivo ISO está equipado con un cargador malicioso para los troyanos a través de JavaScript, un archivo por lotes de Windows o un script de Visual Basic.

Si una víctima intenta cargar la imagen de disco, estos scripts se activan. Diseñados para desplegar Nanocore, Netwire y AsyncRAT, los scripts se dirigirán a un servidor de descarga para obtener una carga útil, y aquí es donde entra en juego un servicio de nube pública.

Sin embargo, los scripts de descarga utilizan técnicas de ofuscación para ocultar estas actividades. El JavaScript contiene cuatro capas de ofuscación, y cada nuevo proceso malicioso se genera después de retirar la capa anterior; el archivo por lotes contiene comandos ofuscados que ejecutan PowerShell para recoger su carga útil, y el archivo VBScript también utiliza comandos de PowerShell.

También se detectó un dropper de PowerShell construido con HCrypt.

Los atacantes detrás de la campaña manejan una variedad de hosts de carga útil, servidores de comando y control (C2) y subdominios maliciosos. La mayoría de los detectados, hasta ahora, están alojados en Azure y AWS.

Además, los operadores abusan de DuckDNS, un servicio de DNS dinámico legítimo para apuntar subdominios a direcciones IP. El servicio se utiliza para gestionar las descargas de malware a través de subdominios DuckDNS maliciosos y para enmascarar los nombres de los hosts C2, según Talos.

Netwire, Nanocore y AsyncRAT son populares cepas de troyanos comerciales que son ampliamente utilizadas por los actores de amenazas para acceder de forma remota y secuestrar máquinas vulnerables, robar datos de los usuarios y llevar a cabo la vigilancia por medios que incluyen la captura de audio y cámaras.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *