Los piratas informáticos utilizan los servicios en la nube para distribuir malware Nanocore, Netwire y AsyncRAT

troyanos de acceso remoto Noticias

Los actores de amenazas están incorporando activamente servicios de nube pública de Amazon y Microsoft en sus campañas maliciosas para entregar troyanos de acceso remoto (RAT) básicos como nanonúcleo, cable de red, y AsyncRAT para desviar información confidencial de los sistemas comprometidos.

Los ataques de spear-phishing, que comenzaron en octubre de 2021, se dirigieron principalmente a entidades ubicadas en EE. UU., Canadá, Italia y Singapur, dijeron investigadores de Cisco Talos en un comunicado. reporte compartido con The Hacker News.

El uso de la infraestructura legítima existente para facilitar las intrusiones se está convirtiendo cada vez más en parte del libro de jugadas de un atacante, ya que evita la necesidad de alojar sus propios servidores, sin mencionar que se usa como un mecanismo de encubrimiento para evadir la detección por parte de las soluciones de seguridad.

En los últimos meses, las herramientas de colaboración y comunicación como Discord, Slack y Telegram han encontrado un lugar en muchas cadenas de infección para requisar y extraer datos de las máquinas de las víctimas. Visto de esa manera, el abuso de las plataformas en la nube es una extensión táctica que los atacantes podrían explotar como un primer paso en una amplia gama de redes.

«Hay varios aspectos interesantes en esta campaña en particular, y apunta a algunas de las cosas que comúnmente vemos que los actores malintencionados usan y abusan», dijo Nick Biasini, jefe de divulgación de Cisco Talos, a The Hacker News por correo electrónico.

«Desde el uso de infraestructura en la nube para albergar malware hasta el abuso de DNS dinámico para actividades de comando y control (C2). Además, las capas de ofuscación apuntan al estado actual de las actividades cibernéticas criminales, donde se necesita mucho análisis para llegar a la carga útil final y las intenciones del ataque».

Al igual que con muchos de estos tipos de campañas, todo comienza con un correo electrónico de phishing con el tema de una factura que contiene un archivo ZIP adjunto que, cuando se abre, desencadena una secuencia de ataque que descarga las cargas útiles de la siguiente etapa alojadas en un servidor de Windows basado en Azure Cloud o en un Instancia AWS EC2, que finalmente culmina con la implementación de diferentes RAT, incluidos AsyncRAT, Nanocore y Netwire.

Los troyanos, una vez instalados, no solo pueden usarse para obtener acceso no autorizado a datos confidenciales, sino que también pueden ser utilizados por los atacantes para monetizar el acceso a los sistemas comprometidos para posteriores ataques de afiliados de ransomware y otros grupos de ciberdelincuencia.

También cabe destacar el uso de DuckDNS, un servicio DNS dinámico gratuito, para crear subdominios maliciosos para entregar malware, con algunos de los subdominios maliciosos controlados por actores que se resuelven en el servidor de descarga en Azure Cloud, mientras que otros servidores funcionan como C2 para las cargas útiles de RAT. .

“Los actores maliciosos son oportunistas y siempre buscarán formas nuevas e ingeniosas tanto para albergar malware como para infectar a las víctimas”, dijo Biasini. «El abuso de plataformas como Slack y Discord, así como el abuso de la nube relacionado, son parte de este patrón. También encontramos comúnmente sitios web comprometidos que se utilizan para alojar malware y otra infraestructura, y nuevamente señala el hecho de que estos adversarios usarán todos y cada uno de los medios para comprometer a las víctimas».

David
Rate author
Hackarizona