La campaña de ataque comienza con el compromiso de los sitios web, donde se inyecta código JavaScript malicioso para ejecutar secuencias de comandos cuando el usuario visita.
Un analista de seguridad detectó una campaña que explota una pantalla de error de actualización de Google Chrome falsa para distribuir malware. La campaña cobró impulso en febrero de 2023, con descargas de malware confirmadas informadas en varios objetivos.
Los guiones descargan guiones adicionales que se determinan en función de si el visitante es el público objetivo.
El servicio Pinata IPFS se aprovecha para entregar los scripts maliciosos, ofuscando el servidor de origen que aloja los archivos y evadiendo los esfuerzos de bloqueo. Cuando un visitante objetivo accede al sitio comprometido, se muestra una pantalla de error falsa de Google Chrome, que afirma que no se pudo instalar una actualización automática requerida.
Los scripts, mencionados anteriormente, descargan automáticamente un archivo ZIP que finge ser una actualización de Chrome. Sin embargo, este archivo implementa un minero de Monero para realizar criptominería.
El malware utiliza la técnica BYOVD para abusar de un error en WinRing0x64.sys para obtener acceso privilegiado al sistema.
El minero de Monero, además, obstruye Windows Update e interfiere con la comunicación de los productos de seguridad con sus servidores al manipular las direcciones IP en el archivo HOSTS.
Esto obstruye las actualizaciones y la detección de amenazas, y potencialmente puede desactivar el software antivirus por completo.
Criptominería en aumento
Se encontró una campaña de cryptojacking, llamada Color1337, dirigida a máquinas Linux. Utiliza una botnet de minería Monero que puede moverse lateralmente a través de la red. Se lanzó otra campaña de publicidad maliciosa distinta contra los usuarios portugueses para robar su criptomoneda. Se descubrió utilizando un nuevo malware clipper: CryptoClippy. Hasta ahora, la campaña se ha dirigido a organizaciones de fabricación, TI y bienes raíces.
Artículos relacionados
Ciberdelincuentes suplantan a empresa administradora de planta nuclear ucraniana, ocultando malware en Doc
14 de abril de 2023Los investigadores de FortiGuard Labs han compartido los detalles del documento malicioso utilizado, las técnicas de evasión y otras técnicas utilizadas por los atacantes. La actividad aún está en desarrollo o es un subconjunto de algún ejercicio de Red Team.
