Malware troyano Flawed Ammyy
Se cree que la campaña FlawedAmmyy es el trabajo de un prolífico grupo de piratas informáticos que ha estado distribuyendo el malware a través de correos electrónicos de phishing.
Los hackers están distribuyendo una forma de malware troyano recientemente descubierta que ofrece acceso completo a PC infectadas con Windows.
Apodado FlawedAmmyy, el malware se basa en el código fuente filtrado para una aplicación legítima, la versión 3 del software de escritorio remoto Ammyy Admin, y permite a los atacantes espiar en secreto a los engañados para instalarlo.
El RAT "Remote Access Trojan" es capaz de tener control completo de escritorio remoto, proporcionando a los piratas informáticos acceso total al sistema y la oportunidad de robar archivos, credenciales y más. El malware también tiene el potencial de abusar del audio chat.
Si bien los que están detrás de FlawedAmmyy intentan entregarlo a granel mediante campañas de phishing masivas , también están participando en campañas más específicas dirigidas a sectores específicos, con ataques enfocados en la industria automotriz, entre otros. Esta campaña para infectar PCs con FlawedAmmyy estuvo activa hace solo unos días.
Un malware previamente no documentado, FlawedAmmyy ha sido descubierto por investigadores de Proofpoint que dicen que el grupo detrás de él ha estado desplegando activamente el troyano desde enero de 2016.
Se cree que la organización detrás de los ataques es TA505, un prolífico grupo de piratas informáticos que ha estado activo desde 2014, y anteriormente se ha centrado en las víctimas que utilizan el troyano bancario Dridex , Locky ransomware , Jaff ransomware y más en campañas de amplio alcance.
Los intentos de entregar FlawedAmmyy son similares a esos esquemas, con mensajes enviados con temas relacionados con recibos, facturas y facturas y un archivo adjunto de correo electrónico en forma de un archivo .ZIP que pretende estar relacionado con una transacción.
El archivo ZIP contiene archivos .url que están diseñados para servir como enlaces a sitios web y lanzar automáticamente un navegador web.
En este caso, los archivos se utilizan para conectarse a un "archivo://" en lugar de un enlace "http://", lo que significa que si la víctima abre el archivo adjunto, el sistema descarga y ejecuta JavaScript sobre el Bloque de mensajes del servidor ( SMB) protocolo en lugar del navegador.
Los investigadores dicen que esta es la primera instancia de combinación de estos dos elementos para infectar sistemas con malware. Una vez que se ha llamado al protocolo SMB, el JavaScript descarga Quant Loader, que a su vez recupera la carga final e instala FlawedAmmyy en la PC infectada.
"Hemos visto a FlawedAmmyy en ambas campañas masivas, creando potencialmente una gran base de computadoras comprometidas, así como campañas dirigidas que crean oportunidades para que los actores roben datos de clientes, información de propiedad y más", dijeron los investigadores de Proofpoint.
El troyano no les proporciona a las víctimas ninguna señal importante de que su computadora haya sido infectada. Para evitar infecciones, los usuarios deben evitar hacer clic en enlaces inesperados y extraños, especialmente de remitentes desconocidos.
"Como siempre, los usuarios no deben abrir archivos adjuntos de remitentes que no conocen y deben tener en cuenta las advertencias de seguridad al abrir archivos. Las defensas en capas en la puerta de enlace de correo electrónico, IDS y punto final pueden proporcionar una protección importante para amenazas de esta naturaleza", dijo investigadores.
La campaña turca se basa en malware que apareció por primera vez el año pasado, pero fue modificado en las últimas semanas. Los archivos maliciosos se distribuyen mediante correos electrónicos que contienen documentos de Microsoft Word enmascarados como una plantilla de acuerdo para la distribución de bitcoin, dijo McAfee.
Para engañar a los objetivos turcos para que abran el archivo adjunto, los hackers enviaron los correos electrónicos desde una cuenta con el nombre de dominio falcancoin.io, un nombre similar al de una plataforma líder de criptomonedas, Falcon Coin.
La visualización del archivo descarga el malware en la computadora del destinatario, brindando acceso remoto a los hackers que pueden usar para cargar o descargar archivos o manipular sistemas internos que podrían permitir el robo financiero.
El documento de Microsoft Word tenía un archivo Adobe Flash incrustado que explotaba un problema por el cual se había distribuido un parche de software unas semanas antes. Los atacantes estaban apostando a que los usuarios no habían descargado esa actualización.
El ataque muestra la "militarización" de tales agujeros de software, dijo el Sr. Samani de McAfee.
Una vez que tienen acceso, los piratas informáticos también pueden robar información interna de la organización para utilizarla en enmascarar ataques posteriores. Incluso algo tan benigno como nombres de impresoras podría explotarse: los destinatarios podrían confiar más en los archivos adjuntos de correo electrónico que contengan el nombre de la impresora de su oficina, dijo Christiaan Beek, ingeniero principal sénior de McAfee.