Se ha descubierto un malware que se esconde en el logo de inicio en Windows
De momento ha afectado a Oriente Medio y ?frica
Los virus y el malware campas a sus anchas en esta era conectada. Constantemente anunciamos nuevos peligros que nos acechan y ahora se ha descubierto una campa?a contra usuarios de Windows realmente sorprendente.
Principalmente porque, tal y como informan desde BleepingComputer, se ha descubierto una campa?a por parte del grupo de hackers 'Witchetty', que utiliza el logotipo de Windows para ocultar un malware de puerta trasera.
Por si no conoces al grupo ※Witchetty§, estamos ante una organizaci車n de piratas inform芍ticos de primer nivel, aliados con Cicada o APT10, el grupo de hackers chinos m芍s peligroso. Anteriormente hab赤an atacado a proveedores de energ赤a americanos y ahora se ha descubierto este peligroso malware.
Un malware que se oculta en el logo de Windows
Ha sido la empresa de seguridad Symantec la que ha descubierto esta nueva campa?a de ciberespionaje lanzada en febrero de 2022 y que fue dirigida a dos gobiernos en Oriente Medio y ?frica.
Para ello, los piratas inform芍ticos buscaron vulnerabilidades en el sistema y escondieron el malware usando el logotipo de Windows en un tipo de ataque llamado ※esteganograf赤a§.
Por si no conoces este ataque, consiste en ocultar informaci車n dentro de una informaci車n p迆blica, evitando su detecci車n. Por ejemplo, se utilizaba antes en redes de pederastia para ocultar im芍genes de menores en fotograf赤as normales. Y este grupo de hackers han usado esteganograf赤a para ocultar su carga maliciosa del software antivirus en la imagen de mapa de bits del logotipo de Windows.
Este archivo malicioso se aloja en un servicio en la nube, lejos del servidor de comando y control (C2) en el sistema para evitar que pueda saltar una alerta de seguridad.
"Ocultar la carga 迆til de esta manera permiti車 a los atacantes alojarla en un servicio gratuito y confiable", explica Symantec en su informe ."Es mucho menos probable que las descargas desde hosts confiables como GitHub generen se?ales de alerta que las descargas desde un servidor de comando y control (C&C) controlado por un atacante".
Como informan desde Bleeping computer ※el ataque comienza cuando los actores de amenazas obtienen acceso inicial a una red al explotar Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y ProxyLogon (CVE-2021-26855 y CVE- 2021-27065) cadenas de ataque para colocar webshells en servidores vulnerables.§
Cuando consiguen acceso pueden abrir archivos y directorios, iniciar o cerrar procesos, modificar el registro de Windows, descargar archivos y mucho m芍s. Todo a trav谷s de un proxy que les permite utilizar cualquier equipo infectado de forma remota.
TA410 y Witchetty siguen siendo amenazas activas para los gobiernos y las organizaciones estatales en Asia, ?frica y en todo el mundo. Y desde Symantic recomiendan estar alerta porque esta vulnerabilidad es una de las m芍s peligrosas encontradas hasta la fecha.