- Los atacantes utilizaron como arma la carga útil de PowerShell, troyanizaron ScreenConnect y un archivo .jpeg para establecer la persistencia.
- El malware permite el robo de credenciales, comunicaciones C2 cifradas y funciones de vigilancia.
- Cypharma advierte que la campaña refleja un marco de infiltración maduro
Tenga cuidado al descargar archivos de Internet, incluso los archivos .jpeg inocentes pueden contener malware, advierten los expertos.
Los investigadores de seguridad Cypherma han publicado un informe detallado sobre una nueva campaña de piratería llamada “Operación SilentCanvas”. Si bien no sabemos la cantidad de infecciones ni de víctimas comprometidas con éxito, los investigadores dicen que la campaña probablemente se dirigió a empresas y otras organizaciones que utilizan herramientas de administración remota.
El ataque comienza cuando la víctima recibe el archivo .jpeg armado. Nuevamente, no conocemos el mecanismo de entrega exacto, pero Cyfirma especula que el archivo se entregó a través de archivos adjuntos maliciosos, interacciones fraudulentas de intercambio de archivos o correos electrónicos de phishing con software falso y señuelos de actualización.
“Estructuras de penetración funcionalmente maduras y diseñadas profesionalmente”
Sin embargo, cuando la víctima ejecuta el archivo llamado ‘sysupdate.jpeg’, en realidad ejecuta una carga útil maliciosa de PowerShell que hace varias cosas: descarga cargas útiles adicionales de la infraestructura del atacante; ConnectWise implementa una versión troyanizada de ScreenConnect para acceso remoto secreto; Eleva los privilegios al eludir las protecciones de seguridad de Windows y agregar entradas de registro maliciosas; y establece persistencia a través de un servicio falso de Windows llamado OneDriveServers.
El malware permite la comunicación cifrada con la infraestructura de comando y control (C2), roba credenciales y toma de huellas dactilares. Otras funciones compatibles incluyen captura de pantalla, captura de micrófono y monitoreo del portapapeles.
“En general, Tradecraft refleja un marco de intrusión diseñado profesionalmente y operativamente maduro capaz de respaldar la persistencia encubierta a largo plazo, el robo de credenciales, el movimiento lateral, el espionaje empresarial y la posible implementación de ransomware dentro de entornos empresariales”, concluyó Cyfirma, sin nombrar al grupo, ni siquiera vincularlo a un país específico.
Para protegerse contra esta campaña, los expertos en seguridad deben estar atentos a los archivos binarios de Windows de los que se suele abusar, incluidos csc.exe, cvtres.exe o ComputerDefaults.exe. Si es posible, estos deben bloquearse por completo. Las plataformas de acceso remoto deben estar estrictamente controladas y se deben configurar reglas de detección para comportamientos sospechosos de PowerShell.
Por último, cualquier sistema que muestre actividad inesperada de ScreenConnect debe apagarse inmediatamente.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
