Microsoft descubre nueva campaña del Malware sLoad 2.0

Un mes después de informar cómo funcionaba el malware sLoad, los investigadores de Microsoft descubrieron una nueva versión del malware sLoad 2.0 (también conocido como Starslord) basado en PowerShell. Este afecta y abusa del servicio de transferencia inteligente que se encuentra en los procesos de segundo plano llamado componente BITS. Este componente es utilizado por Microsoft para enviar sus actualizaciones a todos sus usuarios.

sLoad se propaga a través de campaña de phishing y básicamente es un “dropper de malware“ que se ejecuta e infecta principalmente PC's con sistemas operativos Windows. Este tiene la intención de recopilar información de los sistemas infectados. Esta información robada se envía luego a un servidor de comando y control (C&C) después de lo cual recibe instrucciones para descargar e instalar una segunda carga útil de malware.

“La cadena de ataque de múltiples etapas de sLoad, el uso de scripts intermedios mutados, BITS como protocolo alternativo y su naturaleza polimórfica hace que el malware sea bastante difícil de detectar ”, señalaron los investigadores de Microsoft. 

El hecho de que la pandilla de sLoad haya enviado una nueva versión en menos de un mes después de exponer sus operaciones muestra la velocidad a la que los autores de malware a menudo operan.

Se recomienda lo siguiente:

• Actualizar los equipos con Windows a las últimas versiones.
• Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.
• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Evitar instalar programas de sitios que no sean oficiales.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Validar que el remitente sea de su confianza.