19 de junio de 2024Sala de prensaMalware/ataque cibernético Los usuarios de habla china son el objetivo de un grupo de actividad de amenazas nunca antes visto con nombre en código Void Arachne que emplea archivos maliciosos de Windows Installer (MSI) para redes privadas virtuales (VPN) para entregar un comando -y-control (C&C) llamado Winos 4.0. «La campaña también promueve archivos MSI comprometidos incrustados con nudificadores y software generador de pornografía deepfake, así como tecnologías faciales y de voz con inteligencia artificial», dijeron los investigadores de Trend Micro Peter Girnus, Aliakbar Zahravi y Ahmed Mohamed Ibrahim en un informe técnico publicado hoy. «La campaña utiliza [Search Engine Optimization] tácticas de envenenamiento y redes sociales y plataformas de mensajería para distribuir malware». La empresa de ciberseguridad, que descubrió el nuevo grupo de actores de amenazas a principios de abril de 2024, dijo que los ataques implican publicidad de software popular como Google Chrome, LetsVPN, QuickVPN y un paquete de idiomas de Telegram. para que el idioma chino simplificado distribuya Winos Las cadenas de ataque alternativas aprovechan los instaladores de puerta trasera propagados en canales de Telegram con temas en chino. Los enlaces surgidos a través de tácticas de SEO de sombrero negro apuntan a una infraestructura dedicada configurada por el adversario para organizar los instaladores en forma de. Para los ataques dirigidos a canales de Telegram, los instaladores MSI y los archivos ZIP se alojan directamente en la plataforma de mensajería. El uso de un paquete malicioso en idioma chino es interesante, sobre todo porque plantea una enorme superficie de ataque que otros tipos de software pretenden ofrecer. capacidades para generar videos pornográficos deepfake no consensuales para su uso en estafas de sextorsión, tecnologías de inteligencia artificial que podrían usarse para secuestro virtual y herramientas de alteración de voz e intercambio de rostros. Los instaladores están diseñados para modificar las reglas del firewall para incluir en la lista permitida el tráfico entrante y saliente asociado con el malware cuando se conecta a redes públicas. También coloca un cargador que descifra y ejecuta una carga útil de segunda etapa en la memoria, que posteriormente lanza un script de Visual Basic (VBS) para configurar la persistencia en el host y desencadenar la ejecución de un script por lotes desconocido y entregar el marco de C&C de Winos 4.0. mediante un stager que establece comunicaciones C&C con un servidor remoto. Un implante escrito en C++, Winos 4.0 está equipado para llevar a cabo gestión de archivos, denegación de servicio distribuido (DDoS) usando TCP/UDP/ICMP/HTTP, búsqueda de disco, control de cámara web, captura de pantalla, grabación de micrófono, registro de teclas y acceso remoto al shell. . Para subrayar la complejidad de la puerta trasera hay un sistema basado en complementos que implementa las funciones antes mencionadas a través de un conjunto de 23 componentes dedicados compilados para variantes de 32 y 64 bits. Se puede ampliar aún más mediante complementos externos integrados por los propios actores de la amenaza, según sus necesidades. El componente central de WinOS también incluye métodos para detectar la presencia de software de seguridad frecuente en China, además de actuar como el principal orquestador responsable de cargar los complementos, borrar los registros del sistema y descargar y ejecutar cargas útiles adicionales desde una URL proporcionada. «La conectividad a Internet en la República Popular China está sujeta a una estricta regulación mediante una combinación de medidas legislativas y controles tecnológicos conocidos colectivamente como el Gran Cortafuegos de China», señalaron los investigadores. «Debido al estricto control gubernamental, los servicios VPN y el interés público en esta tecnología han aumentado notablemente. Esto, a su vez, ha aumentado el interés de los actores de amenazas en explotar el mayor interés público en el software que puede evadir el Gran Cortafuegos y la censura en línea». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.