Los investigadores de seguridad han descubierto un nuevo actor de amenazas que aprovecha dominios falsos que se hacen pasar por sitios auténticos de software de escaneo de IP. Zscaler ThreatLabz descubrió esta sofisticada amenaza cibernética en marzo de 2024 y describió los hallazgos en un aviso publicado el miércoles. El actor registró múltiples dominios que se asemejan a sitios de software genuinos mediante errores tipográficos y utilizó Google Ads para aumentar su visibilidad en los resultados de los motores de búsqueda. Esta estrategia tenía como objetivo atraer a víctimas desprevenidas, principalmente profesionales de TI, para que visitaran estos sitios maliciosos. La puerta trasera descubierta, llamada “MadMxShell”, emplea métodos complejos, incluida la descarga de DLL y el túnel DNS, para comunicarse con un servidor de comando y control (C2). En particular, utiliza consultas DNS MX para la comunicación C2, lo que contribuye a su naturaleza esquiva. La capacidad de la puerta trasera para evadir análisis forenses de memoria y soluciones de seguridad de red aumenta su sofisticación. La campaña está dirigida a profesionales de administración de redes y seguridad de TI, una tendencia que se alinea con ataques anteriores de grupos de amenazas persistentes avanzadas (APT) como Nobelium. Aunque la atribución aún no está clara, esta tendencia emergente resalta la importancia de la vigilancia entre los profesionales de TI. Lea más sobre Nobelium: equipos de Microsoft atacados por ataques de phishing de Midnight Blizzard El actor de amenazas aprovechó la publicidad maliciosa, los sitios de software falsificados y Google Ads para propagar el ataque. Los sitios maliciosos imitan fielmente los sitios de software legítimos, con modificaciones sutiles en el código JavaScript para redirigir a los usuarios a descargar archivos maliciosos. La puerta trasera, analizada en detalle, sigue una cadena de ataque de varias etapas que involucra técnicas de carga lateral de DLL y vaciado de procesos. Utiliza ejecutables legítimos para ejecutar la carga útil y mantener la persistencia, evadiendo la detección. El malware admite varios comandos, lo que indica un enfoque en la recopilación de información y la manipulación del sistema. El análisis de la infraestructura descubrió dominios asociados con el actor de la amenaza, revelando su modus operandi y posibles motivos. La investigación de inteligencia de código abierto (OSINT) reveló además las actividades del actor en foros clandestinos, arrojando luz sobre sus técnicas e intereses. «Si bien actualmente no podemos atribuir esta actividad a ningún actor de amenazas conocido, continuamos monitoreando cualquier nuevo desarrollo asociado con este actor de amenazas y garantizamos que nuestros clientes tengan las protecciones necesarias contra estas amenazas», se lee en el aviso de Zscaler. “También sugerimos a los usuarios que sigan las mejores prácticas de seguridad y tengan cuidado al hacer clic en enlaces que aparecen en los resultados del motor de búsqueda de Google. Los usuarios también deben asegurarse de descargar el software únicamente desde el sitio web oficial del desarrollador”. Crédito de la imagen: Alex Photo Stock/Shutterstock.com