Hackers lanzan RAT y Spyware ofuscado vía Malspam para robar contraseñas

Investigadores de seguridad de TrendMicro han identificado una nueva campaña malspam que contiene AutoIT compilados con payloads como el spyware Agent Tesla y Ave Maria RAT para robar credenciales y registrar pulsaciones de teclas de aplicaciones de Windows. Los troyanos utilizados en la operación se han actualizado de un spyware regular a un malware RAT peligroso, lo que indica que los cibercriminales se están moviendo para transferir payloads más maliciosos y rentables como un ransomware según investigadores de TrenMicro.

La técnica de ofuscación de AutoIT se utiliza principalmente para evitar los filtros de spam y es una forma fácil de montar los archivos ISO maliciosos en la versión reciente de Windows. Una vez que se descarga el documento malicioso, extractos de malware Negasteal y Ave Maria ofuscados por AutoIT. Estos troyanos tienen capacidades de registro de teclas, capturas de pantalla y cámaras web, así como información almacenada en el portapapeles y los navegadores.

La versión RAT utilizada en esta operación tiene más capacidades que un spyware. El malware puede omitir los controles UAC y aumentar su nivel de acceso. Si el malware se ejecuta con éxito en el sistema infectado, se robará información específica, como nombres de usuario y contraseñas, a través de los protocolos HTTP, IMAP, POPAP y SMTP y aplicaciones de Windows como Microsoft Outlook, Windows Messaging, Internet Explorer, Google Chrome, Foxmail, Thunderbird y Firefox. Además, Ave Maria puede crear y editar archivos personalizados en el sistema de destino; obtener una lista de carpetas, archivos y procesos de procesamiento, y dejar de ejecutar procesos.

Se recomienda lo siguiente: 

• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evitar instalar programas de sitios que no sean oficiales.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
• Tener activado el UAC (control de cuentas de usuario) de Windows.