Microsoft Azure se convierte en un punto ideal para que los hackers alojen un malware potente y también como un servidor de comando y control para enviar y recibir comandos a sistemas comprometidos
Microsoft Azure es una plataforma de computación en la nube creada por Microsoft para construir, probar, implementar y administrar aplicaciones y servicios a través de centros de datos administrados por Microsoft.
Inicialmente, esta operación maliciosa fue descubierta y reportada por @JayTHL & @malwrhunterteam a través de Twitter, en la cual proporcionan la evidencia de que hay un software malicioso alojado en Microsoft Azure.
El investigador ya reportó esta operación maliciosa a Microsoft. sin embargo, el malware original (más las muestras adicionales cargadas desde entonces) aún residía en el sitio de Azure desde el 29 de mayo de 2019, 17 días después, informó Appriver.
Esta es una evidencia de que Azure no pudo detectar el malware que reside en el servidor de Microsoft, pero el defensor de Windows está detectando los archivos maliciosos si los usuarios intentan descargar desde el servidor de alojamiento de malware.
El defensor de Windows detecta este malware como Trojan: Win32 / Occamy.C y la primera muestra nueva (searchfile.exe) se cargó inicialmente a VirusTotal el 26 de abril de 2019, y otra muestra (printer / prenter.exe) se envió por primera vez el 30 de abril. , pero también permanece sin ser detectado en los servidores de Azure.
Sin embargo, según appriver , no parece que el servicio esté actualmente explorando sitios de Azure o, uno podría suponer que estos archivos ya se habrían detectado.
Según el informe de análisis que utiliza el archivo printer.exe, los atacantes descompilaron este malware con el archivo ejecutable portátil c # .net.
Los atacantes utilizan hábilmente un archivo no compilado como un intento de evadir la puerta de enlace y la detección de seguridad de los puntos finales mediante el examen minucioso de los archivos binarios descargados.
"Una vez que se ejecuta, este agente malintencionado genera solicitudes XML SOAP cada 2 minutos para ingresar y recibir comandos del sitio de control y comando de Azure de los actores maliciosos en: systemservicex[.]Azurewebsites[.]Net /data [.] Asmx"
Este no es el primer operador de malware que abusa de Azure, pero ya informamos que los atacantes abusan de Microsoft Azure Blog Hosting y también intentaron robar las credenciales de inicio de sesión.
Fecha actualización el 2021-06-03. Fecha publicación el 2019-06-03. Categoría: hackers forenses Autor: Oscar olg Mapa del sitio Fuente: gwhackers Version movil