Lo que vas a encontrar...
Los investigadores han descubierto una nueva variante del malware MidgeDropper que normalmente se dirige a sistemas Windows. De hecho, el malware se dirige específicamente a usuarios que trabajan desde casa con PC con Windows, lo que podría indicar las intenciones de los atacantes de explotar posibles vulnerabilidades de seguridad que normalmente existen en entornos de trabajo remotos.
La variante de malware MidgeDropper infecta a los usuarios de Windows que trabajan desde casa
Investigadores de Fortiguard Labs de Fortinet han descubierto una nueva variante del malware MidgeDropper que se dirige a dispositivos Windows. Los actores de amenazas detrás de esta campaña aparentemente apuntan a empleados remotos o usuarios que trabajan desde casa para propagar el malware. Lo que hace que esta variante sea notable son sus características complejas, como la carga lateral y la ofuscación de código.
En resumen, el ataque comienza con un archivo malicioso: el que encontraron los investigadores se llamaba «!PENTING_LIST OF OFFICERS.rar». Este archivo contenía otros dos archivos: un archivo PDF con una imagen ficticia para engañar a los usuarios con un mensaje de error (llamado “Aviso para grupos que trabajan desde casa.pdf”) y un ejecutable “062023_PENTING_LIST OF SUPERVISORY OFICIALES QUE AÚN NO INFORMAN .pdf.exe”. Este ejecutable simplemente incluía la extensión «.pdf» en el nombre del archivo para engañar a las víctimas haciéndoles pensar que era un PDF.
De hecho, de forma predeterminada, Windows no muestra nombres de archivos con extensiones. Por lo tanto, después de supuestamente no poder abrir el archivo PDF, el usuario víctima probablemente haría clic en el archivo ejecutable, creyendo que es otro PDF. Una vez hecho esto, el ejecutable descargaría cuatro archivos más, incluida una aplicación “seAgnt.exe” (una copia renombrada del servidor COM Full Trust de Microsoft Xbox Game Bar “GameBarFTServer.exe”) para cargar archivos DLL maliciosos.
Los investigadores compartieron un análisis técnico detallado de esta variante en su artículo. Aún no han podido analizar las cargas útiles finales porque descubrieron que los siguientes eslabones de la reacción en cadena fueron destruidos.
El vector de ataque exacto aún no está claro, pero probablemente se trate de phishing
Aunque Fortinet descubrió y analizó el malware en detalle, los investigadores no pudieron identificar el vector de ataque exacto. Sin embargo, dados los archivos asociados con este ataque, que normalmente forman archivos adjuntos de correo electrónico, los investigadores sospechan que los correos electrónicos de phishing son el vector probable.
Para evitar este tipo de amenazas, los usuarios deben ser cautelosos al interactuar con correos electrónicos o mensajes no solicitados, especialmente aquellos que contienen archivos adjuntos/URL.
Además, dado que este ataque se basa principalmente en la configuración predeterminada de Windows donde las extensiones de archivo no aparecen con los nombres de los archivos, una estrategia clave para evitar este y otros ataques de malware similares es habilitar la visualización de las extensiones de archivo en el Explorador de Windows. Ayuda a los usuarios a detectar archivos cuestionables, como ejecutables, con nombres de archivo engañosos y extensiones conflictivas.
Háganos saber su opinión en los comentarios.