Malware sofisticado utiliza errores falsos para desencadenar scripts maliciosos de PowerShell. (2024)

Nueva Campaña de Malware Utiliza Errores Falsos para Ejecutar Scripts Maliciosos de PowerShell

🔍 Resumen de la Amenaza

Una reciente campaña de distribución de malware está utilizando errores falsos en Google Chrome, Microsoft Word y OneDrive para engañar a los usuarios y hacerles ejecutar "correcciones" maliciosas de PowerShell que instalan malware. Esta táctica se ha observado en múltiples actores de amenazas, incluyendo los responsables de ClearFake, un nuevo grupo llamado ClickFix, y el conocido actor de amenazas TA571, reconocido por sus voluminosos envíos de spam que resultan en infecciones de malware y ransomware.

Técnicas de Ingeniería Social

Los ataques de ClearFake anteriores utilizaban superposiciones de sitios web que pedían a los visitantes instalar una falsa actualización del navegador que, en realidad, instalaba malware. En la nueva campaña, los actores de amenazas están empleando JavaScript en archivos adjuntos HTML y en sitios web comprometidos. Ahora, las superposiciones muestran errores falsos de Google Chrome, Microsoft Word y OneDrive, solicitando a los usuarios que copien y ejecuten una "corrección" de PowerShell desde el portapapeles.

Métodos de Ataque Identificados

1. ClearFake:

• Técnica: Los usuarios son redirigidos a un sitio web comprometido que carga un script malicioso alojado en la cadena de bloques a través de los contratos Smart Chain de Binance, una técnica conocida como "EtherHiding".
• Proceso: El script muestra una advertencia falsa de Google Chrome indicando un problema al mostrar la página web y solicita al visitante instalar un "certificado raíz" copiando un script de PowerShell en el portapapeles y ejecutándolo en una consola de Windows PowerShell (como Administrador).
• Acciones del Script:Vacia la caché de DNS.Elimina el contenido del portapapeles.Muestra un mensaje señuelo.Descarga un script de PowerShell remoto que realiza comprobaciones anti-VM antes de descargar un ladrón de información.

2. ClickFix:

• Técnica: Inyección en sitios web comprometidos que crean un iframe mostrando otro error falso de Google Chrome.
• Proceso: Solicita a los usuarios abrir "Windows PowerShell (Admin)" y pegar el código proporcionado, llevando a infecciones similares a las del ataque anterior.

3. Infección Basada en Correo Electrónico:

• Técnica: Archivos adjuntos HTML que simulan documentos de Microsoft Word pidiendo a los usuarios instalar la extensión "Word Online".
• Proceso: El mensaje de error ofrece opciones de "Cómo solucionarlo" y "Reparación automática". La primera copia un comando de PowerShell codificado en Base64 al portapapeles y la segunda utiliza el protocolo search-ms para mostrar un archivo malicioso.

Cargas Útiles de la Campaña

Entre las cargas útiles observadas se encuentran:

• DarkGate: Un troyano avanzado que puede realizar una variedad de funciones maliciosas, incluyendo robo de información y control remoto.
• Matanbuchus: Un loader de malware que puede desplegar otras cargas maliciosas en el sistema infectado.
• NetSupport: Una herramienta de administración remota legítima que, en manos de los atacantes, se convierte en un potente software de control remoto no autorizado.
• Amadey Loader: Un malware diseñado para descargar y ejecutar otras piezas de malware.
• XMRig: Un software de minería de criptomonedas utilizado maliciosamente para explotar los recursos del sistema de la víctima.
• Secuestradores de Portapapeles: Malware que monitorea y altera el contenido del portapapeles, a menudo para cambiar direcciones de criptomonedas.
• Lumma Stealer: Un ladrón de información que recoge datos sensibles del sistema infectado.

Impacto y Consecuencias

En todos los casos, los actores de amenazas explotan la falta de conciencia de los usuarios sobre los riesgos de ejecutar comandos de PowerShell en sus sistemas. Además, aprovechan la incapacidad de Windows para detectar y bloquear las acciones maliciosas iniciadas por comandos pegados. Las diferentes cadenas de ataque indican que TA571 está experimentando activamente con múltiples métodos para mejorar la efectividad y encontrar más vías de infección para comprometer una mayor cantidad de sistemas.

Consejos de Seguridad

🔒 Mejorar la Conciencia del Usuario: La educación y concienciación de los usuarios son fundamentales. Es crucial que los usuarios entiendan los riesgos asociados con la ejecución de scripts y comandos que no provienen de fuentes confiables.

🛡️ Implementación de Herramientas de Seguridad: Utilizar software de seguridad avanzado que pueda detectar y bloquear scripts maliciosos. Herramientas como antivirus y anti-malware actualizados, así como soluciones de EDR (Endpoint Detection and Response), pueden ofrecer una capa adicional de protección.

⚙️ Políticas de Grupo y Restricciones de PowerShell: Las organizaciones pueden configurar políticas de grupo para restringir la ejecución de scripts de PowerShell no firmados. Además, es posible monitorear y limitar el uso de PowerShell mediante herramientas de auditoría y control de aplicaciones.

📈 Actualización Continua de Sistemas: Mantener todos los sistemas y aplicaciones actualizados con los últimos parches y actualizaciones de seguridad es esencial para reducir las vulnerabilidades que los atacantes pueden explotar.

Conclusión

Es crucial que los usuarios y organizaciones estén conscientes de estas tácticas y refuercen sus medidas de seguridad para evitar ser víctimas de estas sofisticadas técnicas de ingeniería social y malware. Mantener el software actualizado, educar a los usuarios sobre los riesgos y utilizar soluciones de seguridad robustas son pasos fundamentales para protegerse contra estas amenazas emergentes.