Blog Widefense

Ataques sin archivos contra redes empresariales

Escrito por Kenneth Daniels | 18-ene-23

Más de un centenar de bancos e instituciones financieras de todo el mundo han sido infectados con un sofisticado y peligroso malware basado en memoria que es casi indetectable.

Kaspersky Lab indica que los hackers están dirigidos a bancos, compañías de telecomunicaciones y organizaciones gubernamentales en 40 países, incluyendo Estados Unidos, Sudamérica, Europa y África, con el malware Fileless o sin archivo que reside únicamente en la memoria de los ordenadores comprometidos.

Fileless malware fue descubierto por primera vez por la misma empresa de seguridad en 2014, nunca ha sido común hasta ahora.

Este malware es un pedazo desagradable de software que no copia archivos o carpetas en el disco duro para ser ejecutado. En su lugar, las cargas útiles se inyectan directamente en la memoria de los procesos en ejecución y el malware se ejecuta en el sistema RAM.

Dado que el malware se ejecuta en la memoria, la adquisición de memoria se vuelve inútil una vez que el sistema se reinicia, por lo que es difícil para los expertos forenses digitales encontrar el rastro del malware.

El ataque fue descubierto inicialmente por el equipo de seguridad de un banco quienes encontraron una copia de Metasploit – dentro de la memoria física de un controlador de dominio de Microsoft.


Después de realizar un análisis forense, los investigadores de Kaspersky encontraron que los atacantes aprovecharon Windows PowerShell para cargar el código Meterpreter directamente en la memoria en lugar de escribirlo en el disco.

Los ciberdelincuentes también usaron la herramienta de red NETSH de Microsoft para configurar un túnel de proxy para comunicarse con el servidor de comando y control (C & C) y controlar remotamente el host infectado.

También almacenaron los comandos de PowerShell en el registro de Windows en un esfuerzo por reducir casi todos los rastros de los ataques dejados en los logs o en el disco duro después del reinicio del dispositivo, lo que dificulta la detección y el análisis forense.

El objetivo final de los atacantes estaba aparentemente destinado a comprometer las computadoras que controlan los cajeros automáticos para que pudieran robar dinero.

Los investigadores de Kaspersky Lab planean revelar más detalles en abril sobre el ataque, que está ocurriendo a escala industrial en todo el mundo.

El ataque ya ha afectado a más de 140 redes empresariales en sectores empresariales, con la mayoría de las víctimas ubicadas en Estados Unidos, Francia, Ecuador, Kenia, Reino Unido y Rusia. Y puesto que la amenaza es tan difícil de detectar, el número actual es probablemente mucho mayor.

Fuente:

http://thehackernews.com/2017/02/fileless-malware-bank.html https://securelist.com/blog/research/77403/fileless-attacks-against-enterprise-networks/