Grupo MuddyWater actualiza su backdoor Powerstats

10 Junio 2019
Alto

TrendMicro descubrió que el grupo espionaje cibernético MuddyWater acaba de actualizar y mejorar su backdoor PowerStats, para continuar con sus amenazas avanzadas persistentes (APT); ataque que ésta vez ocurre en varias etapas. La segunda es la que inicia el proceso de infección.

La versión 3 del Powerstats tiene la capacidad de tomar capturas de pantalla y ejecutar comandos y código de powershell, para luego comenzar a infectar a los equipos y sistemas que el grupo considere interesantes.

MuddyWater es un grupo respaldado por Irán, que continuamente está mejorando sus herramientas maliciosas y Powerstats ha sido la última en ser actualizada.

De acuerdo a TrendMicro, durante la etapa inicial los ciberdelincuentes intentan infectar a sus víctimas usando documentos de Microsoft Word, con macros maliciosas enviadas a través de phishing. Estas macros descargan un archivo VBE codificado de Microsoft Script Encoder, que contiene un script de powershell que recopila toda la información del sistema operativo, guardándolo en un archivo log. Este archivo se carga en el servidor Command & Control (C&C). Con ello, cada equipo generará un número guid aleatorio para identificar a cada uno.

Finalmente, el malware iniciará un ciclo infinito (endless loop) y buscará el archivo con el nombre del guid, en una carpeta del servidor C&C. Si los atacantes lo encuentran, el malware se descargará y ejecutará mediante el proceso Powershell.exe.

Se recomienda lo siguiente:

- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También sugerir dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las macros y otras funciones de seguridad, si un correo electrónico o documento lo solicita.

- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.

- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.

- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.

- Mantener actualizado Microsoft Office y el software de seguridad del equipo.

- Bloquear el acceso de administrador predeterminado de los usuarios.

- Aplicar reglas exigentes para la creación de contraseñas.

- Usar un antivirus con escáner de acceso (protección en tiempo real).

- Configurar de manera más estricta el anti spam.

- No abrir documentos adjuntos de remitentes desconocidos.

- Aprender a identificar correos fraudulentos.

El listado de las CVE se adjunta a continuación:


Tags: #muddywater #powerstats #backdoor #malware #vbe #microsoft #word #c&c #microsoftscriptencoder #command&control #powershell #apt #macros #endlessloop


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.