Nueva Campaña de Malware Utiliza Errores Falsos para Ejecutar Scripts Maliciosos de PowerShell
🔍 Resumen de la Amenaza
Una reciente campaña de distribución de malware está utilizando errores falsos en Google Chrome, Microsoft Word y OneDrive para engañar a los usuarios y hacerles ejecutar "correcciones" maliciosas de PowerShell que instalan malware. Esta táctica se ha observado en múltiples actores de amenazas, incluyendo los responsables de ClearFake, un nuevo grupo llamado ClickFix, y el conocido actor de amenazas TA571, reconocido por sus voluminosos envíos de spam que resultan en infecciones de malware y ransomware.
Técnicas de Ingeniería Social
Los ataques de ClearFake anteriores utilizaban superposiciones de sitios web que pedían a los visitantes instalar una falsa actualización del navegador que, en realidad, instalaba malware. En la nueva campaña, los actores de amenazas están empleando JavaScript en archivos adjuntos HTML y en sitios web comprometidos. Ahora, las superposiciones muestran errores falsos de Google Chrome, Microsoft Word y OneDrive, solicitando a los usuarios que copien y ejecuten una "corrección" de PowerShell desde el portapapeles.
Métodos de Ataque Identificados
1. ClearFake:
2. ClickFix:
3. Infección Basada en Correo Electrónico:
Cargas Útiles de la Campaña
Entre las cargas útiles observadas se encuentran:
Impacto y Consecuencias
En todos los casos, los actores de amenazas explotan la falta de conciencia de los usuarios sobre los riesgos de ejecutar comandos de PowerShell en sus sistemas. Además, aprovechan la incapacidad de Windows para detectar y bloquear las acciones maliciosas iniciadas por comandos pegados. Las diferentes cadenas de ataque indican que TA571 está experimentando activamente con múltiples métodos para mejorar la efectividad y encontrar más vías de infección para comprometer una mayor cantidad de sistemas.
Consejos de Seguridad
🔒 Mejorar la Conciencia del Usuario: La educación y concienciación de los usuarios son fundamentales. Es crucial que los usuarios entiendan los riesgos asociados con la ejecución de scripts y comandos que no provienen de fuentes confiables.
🛡️ Implementación de Herramientas de Seguridad: Utilizar software de seguridad avanzado que pueda detectar y bloquear scripts maliciosos. Herramientas como antivirus y anti-malware actualizados, así como soluciones de EDR (Endpoint Detection and Response), pueden ofrecer una capa adicional de protección.
⚙️ Políticas de Grupo y Restricciones de PowerShell: Las organizaciones pueden configurar políticas de grupo para restringir la ejecución de scripts de PowerShell no firmados. Además, es posible monitorear y limitar el uso de PowerShell mediante herramientas de auditoría y control de aplicaciones.
📈 Actualización Continua de Sistemas: Mantener todos los sistemas y aplicaciones actualizados con los últimos parches y actualizaciones de seguridad es esencial para reducir las vulnerabilidades que los atacantes pueden explotar.
Conclusión
Es crucial que los usuarios y organizaciones estén conscientes de estas tácticas y refuercen sus medidas de seguridad para evitar ser víctimas de estas sofisticadas técnicas de ingeniería social y malware. Mantener el software actualizado, educar a los usuarios sobre los riesgos y utilizar soluciones de seguridad robustas son pasos fundamentales para protegerse contra estas amenazas emergentes.
📚 Fuente y Redacción: segu-info.com.ar