Hack Group Witchetty oculta malware en el logotipo de Windows

Malware in the Windows logo

Investigadores de Symantec han descubierto una campaña maliciosa del grupo de hackers Witchetty, que utiliza esteganografía para ocultar malware en una imagen con el logo de Windows.

Déjame recordarte que también escribimos eso. Los piratas informáticos se esconden carromago skimmers en botones de redes sociales.

Los expertos recuerdan que el bruja El grupo de hackeo está asociado con el grupo chino. APT10 (alias Cigarra). En febrero comenzó una de las últimas campañas de ciberespionaje por parte de ciberdelincuentes 2022 y apunta a gobiernos en el Medio Oriente, así como la bolsa de valores en África. Esta campaña aún está en curso..

Los expertos notaron que esta vez los piratas informáticos ampliaron su conjunto de herramientas maliciosas y Comenzó a utilizar la esteganografía en los ataques.: ocultan la puerta trasera cifrada con XOR en el antiguo mapa de bits del Windows logo.

Malware en el logo de Windows
Imagen en la que los hackers escondieron malware

Gracias a este disfraz, el archivo con la puerta trasera se coloca en un servicio en la nube sin nombre, y no en el servidor de control del grupo, ya que las soluciones de seguridad no detectan una carga útil maliciosa en él.

Descargas desde hosts confiables como GitHub son mucho menos propensos a causar alarmas que las descargas desde un C&Servidor C controlado por un atacante.los expertos dicen.

Los ataques de Witchetty comienzan cuando los atacantes obtienen acceso a la red de la víctima utilizando el ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y Inicio de sesión proxy (CVE-2021-26855 y CVE-2021-27065) vulnerabilidades), que se utiliza para inyectar web shells en servidores vulnerables.

Luego, los atacantes descargan y extraen la puerta trasera oculta en el archivo de imagen., Que permite:

  1. realizar acciones en archivos y directorios;
  2. comenzar, enumerar o matar procesos;
  3. modificar el registro de windows;
  4. descargar cargas útiles adicionales;
  5. robar archivos.

Witchetty también utiliza una utilidad proxy especial que obliga a la computadora infectada a actuar. «como servidor y se conecta al C&Servidor C actuando como cliente, y no al revés.»

Otras herramientas culpables incluyen un escáner de puertos personalizado y una utilidad de fijación de sistema personalizada que se agrega al registro bajo la apariencia de un Nvidia componente principal de visualización.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *