Los atacantes encienden la discordia, se relajan con el malware - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los atacantes encienden la discordia, se relajan con el malware

Hola de nuevo. Te habla Eduardo Arroyo y en el día de hoy te voy a contar sobre Los atacantes encienden la discordia, se relajan con el malware

Los atacantes encienden la discordia, se relajan con el malware

Una búsqueda en la red Discord arrojó 20.000 resultados de virus, encontraron los investigadores.

Las herramientas de flujo de trabajo y colaboración como Slack y Discord han sido infiltradas por amenazas, que abusan de sus funciones legítimas para evadir la seguridad y entregar ladrones de información, troyanos de acceso remoto (RAT) y otro malware.

El cambio hacia el trabajo remoto inducido por la pandemia ha llevado los procesos comerciales a estas plataformas colaborativas en 2020 y, como era de esperar, 2021 marcó el comienzo de un nuevo nivel de competencia ciberdelincuente para atacarlos.

El equipo de ciberseguridad Talos de Cisco dijo en un informe sobre abuso de aplicaciones de colaboración esta semana que durante el año pasado, los escritores de amenazas han utilizado cada vez más aplicaciones como Discord y Slack para engañar a los usuarios para que abran archivos adjuntos maliciosos y distribuyan varios RAT y ladrones, incluidos Agent Tesla, AsyncRAT, Formbook y otros.

«Uno de los principales desafíos asociados con la distribución de malware es asegurarse de que los archivos, dominios o sistemas no se eliminen o bloqueen», explicaron los investigadores de Talos en su informe. «Al aprovechar estas aplicaciones de chat que probablemente estén permitidas, están eliminando muchos de estos obstáculos y aumentan en gran medida la probabilidad de que el archivo adjunto llegue al usuario final».

Los investigadores explicaron que Slack, Discord y otras plataformas de aplicaciones de colaboración utilizan redes de entrega de contenido (CDN) para almacenar archivos compartidos de un lado a otro dentro de los canales. Por ejemplo, Talos usa Discord CDN, accesible desde una URL de CDN codificada desde cualquier lugar, por cualquier persona en Internet.

“Esta característica no es específica de Discord. Otras plataformas de colaboración como Slack tienen características similares «, dijo Talos.» Los archivos se pueden cargar en Slack y los usuarios pueden crear enlaces externos que permiten el acceso a los archivos, independientemente de si el destinatario tiene Slack instalado «.

El truco, dijo el equipo, es hacer que los usuarios hagan clic en un enlace malicioso. Una vez que se evade la seguridad, solo es cuestión de convencer al empleado de que piense que se trata de una comunicación empresarial real, una tarea que se simplifica dentro de los límites de un canal de aplicación de colaboración.

Esto también significa que los atacantes pueden entregar su carga útil maliciosa a la CDN a través de HTTPS cifrado y que los archivos se comprimirán, disfrazando aún más el contenido, según Talos. Durante el año pasado, han visto muchos algoritmos de compresión comunes utilizados, incluidos .ACE, .GZ, .TAR y .ZIP, y varios tipos menos comunes, como .LZH.

«En la mayoría de los casos, [messages] son consistentes con lo que nos hemos acostumbrado a ver del malspam en los últimos años «, dijo Talos.» Muchos de los [messages] afirman estar asociados con diversas transacciones financieras y contienen enlaces a archivos que afirman ser facturas, órdenes de compra y otros documentos de interés para las posibles víctimas «.

Los atacantes entregaron los mensajes en varios idiomas, incluidos inglés, español, francés, alemán y portugués, agregaron.

Las CDN también son herramientas útiles para que los ciberdelincuentes generen errores adicionales con tácticas de infección por fases. Los investigadores vieron este comportamiento a través del malware, y agregaron que una búsqueda de CDN Discord arrojó casi 20,000 resultados en VirusTotal.

«Esta técnica se ha utilizado a menudo en campañas de distribución de malware asociadas con RAT, ladrones y otros tipos de malware que se utilizan normalmente para recuperar información confidencial de sistemas infectados», explicó el equipo de Talos.

El equipo usó esta captura de pantalla para ilustrar este tipo de ataque en Discord, que muestra un malware en etapa inicial encargado de recuperar un blob ASCII de un CDN de Discord. Los datos de Discord CDN se convierten en la carga útil maliciosa final y se inyectan de forma remota, dice el informe.

«Como es común con las infecciones de Remcos, el malware se comunicó con un servidor de comando y control (C2) y exfiltró los datos a través de un servidor DNS controlado por un atacante», agrega el informe. «Los atacantes lograron la persistencia mediante la creación de entradas de registro de ejecución para invocar el malware después de reiniciar el sistema».

En otra campaña que usaba AsyncRAT, el descargador de malware parecía un documento de Microsoft en blanco, pero una vez abierto, usaba macros para entregar el error.

La API de Discord se ha convertido en una herramienta eficaz que permite a los atacantes exfiltrar datos de la red. Las comunicaciones C2 se habilitan a través de webhooks, que los investigadores explicaron que se desarrollaron para enviar mensajes automatizados a un servidor Discord específico, que a menudo están vinculados a servicios adicionales como GitHub o DataDog.

«Los webhooks son esencialmente una URL a la que un cliente puede enviar un mensaje, que a su vez publica ese mensaje en el canal especificado, todo sin usar la aplicación Discord real», dijeron. El dominio de Discord ayuda a los atacantes a enmascarar la exfiltración de datos al hacer que se vea como cualquier otro tráfico que llega a la red, agregaron.

«La versatilidad y accesibilidad de los webhooks de Discord los convierte en una opción clara para algunos actores de amenazas, según el análisis:» Con solo unos pocos tokens de acceso robados, un atacante puede usar una infraestructura de campaña de malware verdaderamente efectiva con un mínimo esfuerzo. El nivel de anonimato es demasiado tentador para que algunos actores de amenazas lo pasen por alto «.

Este flujo de comunicación también se puede utilizar para alertar a los atacantes cuando hay nuevos sistemas disponibles para secuestrar y proporciona información actualizada sobre aquellos en los que ya se han infiltrado, dijo Talos.

Ransomware y discordia

El equipo también observó campañas asociadas con el ransomware Pay2Decrypt LEAKGAP, que utilizaba la API de Discord para C2, la exfiltración de datos y el registro de bots, así como los webhooks de Discord para las comunicaciones entre el atacante y los sistemas.

«Después de una infección exitosa, los datos almacenados en el sistema ya no están disponibles para la víctima y se muestra la siguiente nota de rescate», dice el informe. Proporcionaron una captura de pantalla de la nota de rescate que los usuarios recibieron después de la infección:

Discord genera una cadena alfanumérica para cada usuario, o token de acceso, según Talos, que los atacantes pueden robar para secuestrar cuentas, agregaron que a menudo lo veían apuntando a juegos Online.

«Al momento de escribir este artículo, Discord no implementa la verificación del cliente para evitar la suplantación de identidad a través de un token de acceso robado», según Talos. “Esto llevó a la implementación y distribución de una gran cantidad de tokens de robo de Discord en GitHub y otros foros. En muchos casos, los ladrones de tokens son utilidades útiles relacionadas con los juegos Online, ya que Discord es una de las plataformas de chat y colaboración más populares en uso en la comunidad de juegos «.

Estas cuentas luego se utilizan para entregar malware de forma anónima y con fines de ingeniería social, añaden.

Las soluciones, al igual que las amenazas en sí mismas, deben ser multifacéticas, según los expertos. Pero la principal responsabilidad de implementar más seguridad está en las propias plataformas, según Oliver Tavakoli, CTO de Vectra.

«Esta tendencia continuará hasta que los proveedores de tales herramientas de colaboración hagan más para proporcionar más controles de políticas para bloquear el entorno y agregar más telemetría para monitorearlo», dijo Tavakoli a Threatpost. «También requerirá que los proveedores de seguridad intensifiquen y usen la telemetría para detectar y bloquear ataques dentro de estos canales de comunicación».

Desde una perspectiva empresarial, Mark Kedgley, CTO de New Net Technologies, recomienda centrarse en los privilegios del usuario.

«Para mitigar los riesgos, debe centrarse más en los privilegios mínimos, ya que todavía es demasiado común que los usuarios ejecuten con derechos de administrador local», recomendó Kedgley. “Las aplicaciones de oficina y de correo electrónico proporcionan una serie de configuraciones avanzadas para combatir el malware y el phishing; sin embargo, no lo utilizan suficientes organizaciones. El control de cambios y la gestión de vulnerabilidades también deben establecerse como controles de seguridad clave «.

Pero, fundamentalmente, ¿cómo se puede esperar que una empresa o cualquier usuario se mantenga al día con el exceso de canales de comunicación que los trabajadores de hoy están tratando febrilmente de mantener? La simplificación es una forma de reducir la superficie de ataque y hacer que sea razonable que los usuarios sean conscientes de la seguridad de sus interacciones, aconsejó Chris Hazelton de Lookout.

«La mayoría de las organizaciones tienen demasiadas herramientas de comunicación: correo electrónico, plataformas de colaboración y mensajería, chat de conferencias web y mensajes de texto en teléfonos y tabletas», dijo Hazelton. «Esto significa que los usuarios se sienten abrumados por el hecho de que se comunican con diferentes personas o, a veces, con las mismas personas en múltiples plataformas. Esto conduce a una menor conciencia de los riesgos de compartir entre plataformas de colaboración y otras herramientas de comunicación».

.

Puedes compartir en una historia de tu Instagram para que tus colegas lo disfruten

??? ? ? ???

Comparte