Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Macro que descarga malware desde Github

  • Publicado: 27/12/2020
  • Importancia: Media

Recursos afectados

El script de PowerShell utiliza los valores de los píxeles de la imagen descargada para recopilar datos ocultos con técnicas de esteganografía, para calcular la siguiente caga útil que descarga Cobalt Strike.  En ese instante del proceso de infección, cuando el Shellcode se decodifica se puede notar que contiene una cadena EICAR, que se trata de un archivo legítimo para probar la respuesta de soluciones antimalware; de manera que la amenaza pasa inadvertida por el sistema para realizar sus acciones maliciosas.

Algunos detalles técnicos revelan que la comunicación con C2 se establece con un módulo denominado WinINet y el dominio Mazzion1234-44451.portmap.host registrado el 20 de diciembre, la primera interacción con GitHub fue el 24 de diciembre; se atribuye también este ataque al grupo MuddyWater debido a su esquema de infección.

Esta amenaza puede impactar negativamente a la organización de la siguiente forma:

  • Crear y manipular Scripts de Powershell.
  • Escalada de privilegios en el sistema.
  • Comunicación con C2.
  • Almacenamiento de datos en repositorios legítimos como es el caso de Imgur y GitHub, con lo cual los usuarios desprevenidamente pueden descargar y ejecutar amenazas.
  • Ejecutar intentos de penetración y detección de vulnerabilidades para explotar de forma que se consiga realizar un mayor impacto sobre los equipos comprometidos.

 

Etiquetas