Hackers lanzan RAT y Spyware ofuscado vía Malspam para robar contraseñas

29 Octubre 2019
Crítico

Investigadores de seguridad de TrendMicro han identificado una nueva campaña malspam que contiene AutoIT compilados con payloads como el spyware Agent Tesla y Ave Maria RAT para robar credenciales y registrar pulsaciones de teclas de aplicaciones de Windows. Los troyanos utilizados en la operación se han actualizado de un spyware regular a un malware RAT peligroso, lo que indica que los cibercriminales se están moviendo para transferir payloads más maliciosos y rentables como un ransomware según investigadores de TrenMicro.

La técnica de ofuscación de AutoIT se utiliza principalmente para evitar los filtros de spam y es una forma fácil de montar los archivos ISO maliciosos en la versión reciente de Windows. Una vez que se descarga el documento malicioso, extractos de malware Negasteal y Ave Maria ofuscados por AutoIT. Estos troyanos tienen capacidades de registro de teclas, capturas de pantalla y cámaras web, así como información almacenada en el portapapeles y los navegadores.

La versión RAT utilizada en esta operación tiene más capacidades que un spyware. El malware puede omitir los controles UAC y aumentar su nivel de acceso. Si el malware se ejecuta con éxito en el sistema infectado, se robará información específica, como nombres de usuario y contraseñas, a través de los protocolos HTTP, IMAP, POPAP y SMTP y aplicaciones de Windows como Microsoft Outlook, Windows Messaging, Internet Explorer, Google Chrome, Foxmail, Thunderbird y Firefox. Además, Ave Maria puede crear y editar archivos personalizados en el sistema de destino; obtener una lista de carpetas, archivos y procesos de procesamiento, y dejar de ejecutar procesos.

Se recomienda lo siguiente: 

  • Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
  • Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
  • Tener activado el UAC (control de cuentas de usuario) de Windows.

Tags: #Negasteal #malware #AveMaria #AutoIT #RAT #ISO


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.