Microsoft avisa a las empresas europeas de que hay un nuevo equipo de piratas operando en suelo comunitario | Tecnología

Microsoft ha publicado un análisis de un "actor ofensivo del sector privado" con sede en Europa, con el fin de ayudar a sus clientes a detectar indicios de noticias /tecnologia/cuales-son-datos-piratas-informaticos-quieren-realmente-robar-1080427" target="_blank" title="Cuáles son los datos que los piratas informáticos quieren realmente robar">ataques por parte de estos piratas informáticos.

Apodado Knotweed por el Centro de Inteligencia de Amenazas y el Centro de Respuesta a la Seguridad de Microsoft, el grupo atacante del sector privado ha hecho uso de múltiples exploits de día cero de Windows y Adobe en ataques contra clientes europeos.

El grupo, según Microsoft, una PSOA con sede en Austria. Y aunque parece muy correcto, con un sitio web repleto de lenguaje empresarial sobre la recopilación de información y los 20 años de experiencia de la empresa, según el informe de Microsoft el grupo creó el malware SubZero.

¿Qué es ataque Zero-Day?

"Las víctimas observadas hasta la fecha", señala Microsoft, "incluyen bufetes de abogados, bancos y consultorías estratégicas en países como Austria, el Reino Unido y Panamá".

No es de extrañar que el malware haga uso de una serie de exploits, noticias /software/que-es-ataque-zero-day-67611" target="_blank" title="¿Qué es Ataque Zero-Day?">incluidos los de día cero, para infiltrarse en los ordenadores de las víctimas.

En 2022, se encontraron exploits empaquetados en un documento PDF enviado por correo electrónico que, al combinarse con un exploit de día cero de escalada de privilegios de Windows, dio lugar al despliegue de SubZero. SubZero es un rootkit que otorga el control total del sistema comprometido.

"La cadena de explotación comienza con la escritura de una DLL maliciosa en el disco desde el proceso de renderización de Adobe Reader", explica Microsoft.

"Luego, cuando el proceso del sistema se generaba, se utilizaba el atributo en el contexto de activación malicioso, se cargaba la DLL maliciosa desde la ruta dada y se lograba la ejecución de código a nivel del sistema", finaliza la empresa.

En 2021 se rastrearon otros ataques que utilizaban vulnerabilidades parcheadas ese año. Una de las implantaciones fue rastreada hasta un archivo de Excel que se hacía pasar por un documento inmobiliario que contenía una macro maliciosa de Excel 4.0.

Una vez dentro, el malware acecha en la memoria y puede hacer: capturas de pantalla , realizar keylogging, filtrar archivos, ejecutar un shell remoto y descargar plug-ins del servidor C2 de Knotweed.

Los investigadores han identificado una serie de direcciones IP bajo el control de Knotweed. De manera deprimente, Microsoft señaló que "esta infraestructura ha estado trabajando activamente malware desde al menos febrero de 2020 hasta el día de hoy".

About Jose Alexis Correa Valencia

This is a short description in the author block about the author. You edit it by entering text in the "Biographical Info" field in the user admin panel.

0 Comments:

Publicar un comentario