Investigadores de seguridad de TrendMicro han identificado una nueva campaña malspam que contiene AutoIT compilados con payloads como el spyware Agent Tesla y Ave Maria RAT para robar credenciales y registrar pulsaciones de teclas de aplicaciones de Windows. Los troyanos utilizados en la operación se han actualizado de un spyware regular a un malware RAT peligroso, lo que indica que los cibercriminales se están moviendo para transferir payloads más maliciosos y rentables como un ransomware según investigadores de TrenMicro.
La técnica de ofuscación de AutoIT se utiliza principalmente para evitar los filtros de spam y es una forma fácil de montar los archivos ISO maliciosos en la versión reciente de Windows. Una vez que se descarga el documento malicioso, extractos de malware Negasteal y Ave Maria ofuscados por AutoIT. Estos troyanos tienen capacidades de registro de teclas, capturas de pantalla y cámaras web, así como información almacenada en el portapapeles y los navegadores.
La versión RAT utilizada en esta operación tiene más capacidades que un spyware. El malware puede omitir los controles UAC y aumentar su nivel de acceso. Si el malware se ejecuta con éxito en el sistema infectado, se robará información específica, como nombres de usuario y contraseñas, a través de los protocolos HTTP, IMAP, POPAP y SMTP y aplicaciones de Windows como Microsoft Outlook, Windows Messaging, Internet Explorer, Google Chrome, Foxmail, Thunderbird y Firefox. Además, Ave Maria puede crear y editar archivos personalizados en el sistema de destino; obtener una lista de carpetas, archivos y procesos de procesamiento, y dejar de ejecutar procesos.
Se recomienda lo siguiente:
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |
Tipo | Indicador |
---|---|
hash | f5667cba7836560f5074edcd526... |
hash | 99720dce15ec516d957df356221... |