Estás aquí
Portada > Actualidad > Atacantes utilizan la plataforma de Google Cloud para realizar redireccionamientos.

Atacantes utilizan la plataforma de Google Cloud para realizar redireccionamientos.

Lima.- Los actores de amenazas involucrados en estos ataques utilizaron la plataforma informática Google Cloud (GCP) de App Engine para entregar malware a través de señuelos de PDF. Después de las investigaciones, se confirmó que estos ataques han sido dirigidos a gobiernos y firmas financieras de todo el mundo. Varios señuelos probablemente estaban relacionados con un grupo cibercriminal llamado Cobalt Strike.

Este ataque es más efectivo que los ataques tradicionales porque la URL del host redirige a la URL que aloja el malware por medio de Google App Engine.

Los documentos PDF tradicionalmente llegan como archivos adjuntos de correo electrónico a las víctimas. Los correos electrónicos están diseñados para tener contenido legítimo y entregar el malware de fuentes incluidas en la lista blanca. A menudo, dichos archivos adjuntos se guardan en servicios de almacenamiento en la nube, como Google Drive. Compartir estos documentos con otros usuarios puede dar lugar a la aparición de un vector de propagación secundario como el efecto de abanico de salida de CloudPhishing.

Al aprovechar la acción de “permitir por defecto” al momento de ejecutar los lectores de PDF, se puede implementar múltiples ataques sin recibir la advertencia de seguridad después de la primera alerta. También es posible que appengine.google.com esté en la lista blanca de los administradores por razones legítimas. Así mismo, advierte al usuario que está intentando conectarse a appengine.google.com.

Todos los archivos PDF involucrados en este ataque descargaron documentos de Microsoft Word con código de macro ofuscado o documentos PDF como payload.

El señuelo de PDF detectado en las computadoras descargó un documento de Word llamado “Doc102018.doc” que contiene un código de macro malicioso. Este documento se descargó de la URL https: // transef [.] biz.

En la ejecución, se le presenta a la víctima un mensaje para habilitar el modo de edición y contenido para ver el documento.

Al habilitar la opción, la macro se ejecuta y descarga otro payload desde transef [.] biz / fr.txt. Los actores de amenazas a menudo utilizan el payload para asegurar una transición más suave y para hacer que un ataque sea más difícil de detectar, investigar y mitigar.

El archivo de texto fr.txt se detonó usando el instalador de perfiles de Microsoft Connection Manager (csmtp.exe) desde la ubicación, %Appdata%\ Roaming\ Microsoft\ 26117.txt como un archivo de configuración de información ( archivo INF).

En el momento del análisis, el payload de “fr.txt” estaba inactivo y no servía a ningún otro payload.

Esta es una técnica conocida como “Squiblydoo”, en la que los script maliciosos se cargan utilizando aplicaciones nativas de Windows. Esto evita las soluciones de listas blancas de aplicaciones como Windows Applocker, que permiten que solo las aplicaciones aprobadas se carguen y ejecuten.

Recomendaciones:

Se recomienda a nuestros clientes para reducir riesgos, seguir las siguientes acciones preventivas:

Para el personal de seguridad de información:
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Restringir la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IOCs es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de sus servicios internos y externos, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:
• Escanear todo el software descargado de Internet antes de la ejecución.

• Escanear y elimine archivos adjuntos de correo electrónico sospechosos.

• No abrir correos electrónicos de dudosa procedencia, ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

Si usted tiene alguna consulta no dude en contactarse con nosotros:

Perú:
Consultas técnicas: cybersoc@securesoftcorp.com
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Top
A %d blogueros les gusta esto: