Nuevo Malware Mozart utiliza protocolo DNS para evadir controles de seguridad

25 Febrero 2020
Alto
Amenaza

Un nuevo malware a sido descubierto por el equipo investigador MalwareHunterTeam el cual utiliza backdoors (puertas traseras). Mozart está utilizando el protocolo DNS para comunicarse con atacantes remotos y evadir la detección por software de seguridad y sistemas de detección de intrusos.

Se piensa que el malware Mozart se distribuye a través de correos electrónicos específicamente phishing que contienen archivos PDF que vinculan con un ZIP, que contiene un archivo Javascript que cuando se ejecuta extraerá un ejecutable codificado en base64 que se guardará en la computadora.

Normalmente, cuando un malware llama a su casa para recibir comandos que deben ejecutarse, lo hará a través de los protocolos HTTP / S para facilitar su uso y comunicación. El malware Mozart se comunicará con un servidor DNS codificado bajo el control del atacante en 93.188.155.2 y emitirá una serie de comandos a modo de  solicitudes DNS para recibir instrucciones o datos de configuración. 

Mitigación
  • La concientización a los usuarios haciendo hincapié que sean cautelosos cuando se les presentan mensajes de correo electrónico y archivos adjuntos con temática contingente, así como enlaces y sitios web que los delincuentes podrían utilizar como señuelos y la existencia de ataques concentrados los días viernes PM y fin de semana cuando la seguridad de las ciberoperaciones disminuye
  • Bloquear solicitudes de DNS a 93.188.155.2, pero las nuevas variantes podrían simplemente cambiar a un nuevo servidor DNS reiteradas veces.
  • Constante monitoreo de las consultas DNS.
  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Evitar instalar programas de sitios que no sean oficiales.
  • Revisar los controles de seguridad de los AntiSpam y SandBoxing.
  • Validar que el remitente sea de su confianza.
Tags: #Mozart #Malware #PuertaTrasera #AtaqueDNS #HunterTeam
Fuentes utilizadas
https://www.bleepingcomputer.com/news/secu...
Enlaces Internos


© 2023 Entel Digital
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.