Malware WhiteShadow utiliza servidores MSSQL para infectar

27 Septiembre 2019
Alto

Investigadores del equipo Proofpoint han publicado un informe sobre una nueva campaña de malware denominado WhiteShadow que ataca a los servidores de Microsoft SQL. WhiteShadow opera a través de correo malspam que contiene URL maliciosas o archivos adjuntos de Word y Excel.

Cuando la víctima abre el archivo adjunto del correo malicioso pide activar los macros de VBA, si este lo hace inmediatamente se ejecuta y se conecta con los servidores infectados anteriormente.

Luego descarga el malware como una cadena codificada en ASCII dentro de la base de datos MSSQL, lo decodifica y escribe el resultado en el disco duro del sistema como un archivo PKZIP. El binario que se extrae del archivo es el siguiente paso del proceso de infección el cual inicia el proceso de instalación de la carga final de malware .

El malware WhiteShadow fue detectado por primera vez en Agosto del presente año y se ha observado en múltiples campañas de malspam que lo promocionan. Si bien, al principio, los autores de malware no se molestaron en agregar ninguna medida para evitar la detección, durante las campañas posteriores comenzaron a adoptar lentamente diversas técnicas de evasión de detección como la ofuscación de código.

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #whiteshadow #malware #malspam #tropic #microsoft #sql


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.