Detectan nuevo malware modular llamado Novter

03 Octubre 2019
Alto
Amenaza

Investigaciones realizadas por Trend Micro han descubierto un nuevo malware de Botnet modular llamado “Novter” que utiliza el malware de botnet Kovter para ser distribuido por medio de malvertising y kits de explotación.

Los ataques son de ingeniería social ya que llevan al usuario de Internet a que descargue un paquete de software necesario para actualizar supuestamente una aplicación obsoleta de Adobe flash  de un sitio web infectado, sin embargo en lugar de realizar la actualización de dicho software, hace un drop de un archivo de aplicación HTML malicioso para que la víctima ejecute el archivo HTA y pueda cargar un scripts adicional desde un servidor remoto y ejecutar un script PowerShell.

Una vez que se ejecuta el script de PowerShell a su vez deshabilita los procesos de Windows defender y Windows Update , ya que el malware ejecuta un código de Shell para omitir el control de cuentas de Usuario (UAC) a través de la interfaz COM CMSTPLUA (vinculada con la gestión de la conexión).

El malware se comunica con sus servidores command and control y descarga múltiples módulos de JavaScript para diferentes propósitos.

Mitigación

Se recomienda lo siguiente:

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras)
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas
  • Evitar instalar programas de sitios que no sean oficiales.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.
Tags: #novter #botnet #comandandcontrol #malware #malvertising #Windows #Kit
Fuentes utilizadas
https://blog.trendmicro.com/trendlabs-secu...
https://documents.trendmicro.com/assets/Ap...
Enlaces Internos


© 2023 Entel Digital
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.