Portada » Home » Atacantes abusan de servicios cloud de Microsoft y AWS para propagar RAT

Atacantes abusan de servicios cloud de Microsoft y AWS para propagar RAT

Se ha descubierto una campaña maliciosa que difunde variantes de NetWire, Nanocore y AsyncRAT mientras se utiliza la infraestructura de nube pública para alojarlos.

La campaña está activa desde octubre de 2021.

Cisco Talos descubrió que un grupo de actores maliciosos está explotando la nube pública, incluidos Microsoft y Amazon, para alojar malware y comprometer el DNS dinámico para las actividades de C2.

Los ataques de spear-phishing se dirigieron principalmente a entidades ubicadas en Norteamerica y Europa. El objetivo era robar información sensible.

Tales campañas generalmente comienzan con un correo electrónico de phishing con la temática de una factura con un archivo ZIP adjunto.

Acceder a esas cargas útiles de descarga de próxima etapa alojadas en una instancia de AWS EC2 o un servidor de Azure conduce a la implementación de diferentes RAT, incluidos AsyncRAT, Nanocore y NetWire.

Los atacantes usaron código complejo y malware usando varias capas de ofuscación. En tanto, los investigadores tuvieron que desofuscar capa por capa para revelar la carga útil de la siguiente etapa y, por lo tanto, llegar a las cargas útiles finales.

Además, los atacantes estaban utilizando la nube pública como mecanismo de encubrimiento para evitar ser detectados por las soluciones de seguridad.

Las RAT se pueden usar para obtener acceso no autorizado a datos confidenciales, que se pueden monetizar para futuros ataques.

Los atacantes utilizaron un servicio de DNS dinámico gratuito, DuckDNS, para crear subdominios para la entrega de malware. Algunos subdominios se usan como servidores de descarga, mientras que los otros servidores funcionan como C2 para cargas útiles de RAT.