Nueva campaña de APT China reemplaza el narrador de Windows

26 Septiembre 2019
Alto

Investigadores de BlackBerry Cylence descubrieron un grupo sospechoso de amenaza persistente avanzada (APT) de China que realizaba ataques contra compañías de tecnología ubicadas en el sudeste asiático. 

Los atacantes implementaron una nueva versión modificada del backdoor PcShare de código abierto, diseñado para funcionar con una aplicación NVIDIA legítima. También proporcionaron el malware FakeNarrator para reemplazar el narrador incorporado de Windows, característica integrada de “Facilidad de acceso”. Este backdoor les permite controlar sistemas a través de pantallas de inicio de sesión de escritorio remoto sin la necesidad de credenciales.

Una vez que el atacante obtiene acceso a la máquina de la víctima, comienza a ejecutar las herramientas posteriores a la explotación que se han desarrollado con la ayuda del código fuente disponible al público al que se puede acceder a través del portal de programación chino.

Los investigadores encontraron similitudes de PcShare con Tropic Trooper, que se dirige activamente a instituciones gubernamentales y empresas de la industria pesada en Taiwán y Filipinas.

El backdoor instalado es capaz de realizar algunas de las siguientes funciones de administración remota:

  • Enumerar, crear, renombrar, eliminar archivos y directorios
  • Listar y matar procesos
  • Editar llaves de registro y valores
  • Listar y manipular servicios
  • Enumerar y controlar ventanas
  • Ejecutar binarios
  • Descargar archivos adicionales de C&C o la URL proporcionada
  • Subir archivos a los C&C
  • Generar shell de línea de comandos
  • Navega a las URL
  • Mostrar cuadros de mensaje
  • Reiniciar o apagar el sistema

Una vez que el malware esté habilitado en la pantalla de inicio de sesión a través de la función integrada de Windows, este se ejecutará con privilegios de administrador y al escribir la contraseña el atacante podría ganar la persistencia de la máquina sin tener unas credenciales válidas. 

Se recomienda lo siguiente: 

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #fakenarrator #pcshare #apt #china #malware #nvidia #trooper #tropic

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.