Resumen de malware: phishing astuto, BYOVD y RATs de Android

Las noticias sobre malware no dejan de llegar. Hoy analizaremos brevemente un ataque que aprovecha las plataformas de Meta para distribuir malware RAT en sistemas Android; una técnica de ataque conocida como bring-your-own-vulnerable-driver (BYOVD), que consiste en utilizar un controlador vulnerable aportado por el propio atacante y que tiene como objetivo a los usuarios de Windows; y una técnica de phishing avanzada y en varias fases, empleada por un reconocido grupo de ciberdelincuentes con sede en Rusia.

La publicidad maliciosa en Meta apunta a los sistemas Android

Tipo: RAT, Spyware

Malware: Brokewell

Propagación: Publicidad maliciosa

Vector: Entornos de Meta

Objetivo: sistemas Android

Activo desde: julio de 2024

Se informa que los actores de amenazas están recurriendo a técnicas de malvertising en las plataformas de Meta para propagar software fraudulento. Los anuncios ofrecen supuestamente una aplicación gratuita de TradingView Premium, pero la víctima finalmente instala una versión del spyware y troyano de acceso remoto (RAT) Brokewell.

Tal como se detalla en este artículo de BleepingComputer, Brokewell utiliza diversos medios para habilitar una puerta trasera de acceso remoto, registrar la actividad y sustraer información sensible, con un enfoque particular en datos de carácter financiero y relacionados con criptomonedas.

Traiga su propio controlador vulnerable (BYOVD)

Tipo: RAT

Malware: ValleyRAT

Propagación: Controladores vulnerables de WatchDog Antimalware firmados por Microsoft

Grupo de amenazas: Silver Fox

Objetivo: Microsoft Windows 7 a 11

De acuerdo con SC Media, el grupo de ciberdelincuentes que se hace llamar Silver Fox ha estado utilizando una técnica de ataque BYOVD para comprometer sistemas Windows con el troyano de acceso remoto ValleyRAT.

El método BYOVD consiste en cargar deliberadamente un controlador con una vulnerabilidad conocida, en este caso un controlador de WatchDog Antimalware firmado por Microsoft (o un controlador de Zemana en equipos con Windows 7). Estos controladores no figuraban en la lista de bloqueo de controladores vulnerables de Microsoft.

Dado que los controladores se instalan con acceso de nivel 0 a los recursos del sistema, los atacantes pueden instalar el troyano de acceso remoto ValleyRAT sin ser detectados, lo que les permite acceder y tomar el control del sistema comprometido.

Si desea un análisis técnico detallado, consulte este artículo en The Hacker News.

BlackBasta utiliza técnicas avanzadas de phishing para desplegar malware

Tipo: Varios

Malware: Zbot, DarkGate, malware personalizado

Difusión: Técnicas innovadoras de phishing

A finales del año pasado, se observó que el grupo de amenazas Black Basta estaba empleando una novedosa técnica de phishing para hacer que las víctimas instalaran malware en sus sistemas.

En primer lugar, las víctimas reciben un aluvión de correos electrónicos, creando la impresión de que se está produciendo algún tipo de ciberataque. Luego, los atacantes contactan con el objetivo a través de Microsoft Teams, afirmando ser miembros del servicio de asistencia de TI de la empresa.

Una vez que la víctima acepta el chat, los atacantes pueden lograr que instale diversas amenazas de malware. Por lo general, un recolector de credenciales extrae primero las credenciales del usuario y, posteriormente, el malware puede emplearse para instalar un loader como Zbot, Zloader o DarkGate.