Nuevo malware asociado a grupo BlackTech

08 Julio 2018
Crítico

Un nuevo malware denominado PLEAD, asociado al grupo de ciberespionaje BlackTech, utiliza certificados digitales robados de empresas legítimas, como D-Link, para validar archivos y evadir controles de seguridad en las empresas.

El instalador de PLEAD viene oculto en documentos mediante la utilización de la técnica right-to-left-override, con la cual encubre ejecutables (.exe) en archivos de texto o de Microsoft Office.

PLEAD se aprovecha de 4 vulnerabilidades, (que ya cuentan con parche).De acuerdo a la investigación realizada por JPCERT la infección se realiza mediante la descarga del archivo desde un servidor remoto o bien abriendo el binario encriptado en el equipo local. Dicho archivo contiene el shellcode que descarga el módulo backdoor en el dispositivo.

Una vez en el sistema, PLEAD recolecta contraseñas de las siguientes aplicaciones:

  • Google Chrome
  • Microsoft Explorer
  • Microsoft Outlook
  • Mozilla Firefox

Se adjuntan en el presente detalles de la ejecución del malware y del grupo BlackTech, además de los indicadores obtenidos en la investigación.

1

El listado de las CVE se adjunta a continuación:


Tags: #malware #blacktech


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.