Hackers crean sitios falsos para atacar a veteranos estadounidenses con malware

Investigadores de seguridad se percataron de un sitio web falso que pretende ser una organización que ofrece oportunidades de trabajo para veteranos estadounidenses el cual está distribuyendo malware, el que permite a los atacantes obtener el control total sobre la computadora de la víctima.

Los investigadores del grupo Cisco se dieron cuenta que este dicho sitio pretende ser una organización llamada HMH, o Hire Military Heroes, que ofrece una aplicación de escritorio que los veteranos pueden utilizar para buscar oportunidades de trabajo.

El grupo Talos ha afirmado que estos atacantes detrás de este sitio web, son un grupo de actores de amenazas de nombre Tortoiseshell , a quien la empresa de Symantec identificó recientemente como un ataque que apuntó a compañías de TI y obtener acceso a sus clientes.

Las investigaciones han mostrado que estos actores estaban detrás de un atacante de proveedor de TI en Arabia Saudita. Esta campaña que Talos rastreo, menciona que Tortoiseshell esta usando la misma puerta trasera que tenía en el pasado que han utilizado con técnicas y procedimientos TTP.

Cuando los usuarios visitan el sitio, se les pide que descarguen un programa para Windows 8, 8.1 y 10, este archivo esta comprimido en Zip en el que contiene un ejecutable de nombre win10.exe, este ejecutable actualmente solo es detectable por 3 de 69 motores de malware de Virustotal.

Como se puede ver en la presentación al iniciar el programa, aparece una pequeña ventana de carga y que “Esta intentando conectarse a base de datos” mientras ocurre esto, el malware en esta descargando otros archivos de malware que posteriormente los guarda en la computadora. Posteriormente le mostrara una alerta que dice “Solución de seguridad está terminando las conexiones a nuestros servidores” este error es totalmente falso ya que solo hace pensar a los usuarios que este programa no ha funcionado.

Con lo anterior los usuarios que instalaron este software ya tienen 2 infecciones distintas en su computador, una recopila información sobre la víctima y otro ejecuta comandos de los atacantes.

Además del malware de recopilación de información, también se instalara un troyano de acceso remoto en la computadoras de las víctimas, este se instala como un servicio de windows con un nombre “dllhost” y nombre visible “Dll host”. Dicho servicio se configura para iniciarse antonomásticamente para la infección cada vez que se inicie windows.

El nivel de sofisticación de este malware es totalmente bajo ya que el binario .NET tiene capacidades deficientes.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.

A %d blogueros les gusta esto: