De acuerdo con los investigadores de Proofpoint, las versiones más recientes de sLoad, que ha estado activa desde al menos mayo de 2018, se dirigieron a las víctimas usando una geodetección y cercas sofisticadas y de varios pasos.
Una vez que se identificaron los objetivos ideales, los ataques entregaron el troyano bancario Ramnit para comprometer las cuentas y robar datos financieros. Los correos electrónicos de suplantación de identidad (phishing) fueron el vector de infección elegido para estas campañas, y los atacantes prefirieron las notificaciones de envío o paquete que incluían nombres de usuario personalizados y otros detalles convincentes.
Una preferencia por la restricción de ubicación y reconocimiento
El valor objetivo ahora supera el gran volumen en las campañas de malware. Como señaló Proofpoint, los creadores de sLoad realizaron varias comprobaciones para garantizar que las computadoras seleccionadas estuvieran dentro de su área geográfica preferida.
Durante cinco pasos separados: la descarga inicial de los archivos LNK comprimidos, los archivos LNK que descargan PowerShell, la descarga de PowerShell sLoad, la comunicación sLoad con su servidor de comando y control (C&C) y la carga de tareas o comandos recibidos: el malware realizó una verificación de IP de origen para verificar la ubicación del usuario. Durante la descarga inicial de PowerShell y las etapas de recepción de prueba de carga, el malware agregó «cercado de cabecera» adicional para garantizar que las solicitudes y los datos del Servicio de transferencia inteligente en segundo plano (BITS) fueran idénticos.
Si bien esta campaña actualmente está dirigida a víctimas del Reino Unido, Canadá e Italia, los ajustes menores de geofencing podrían cambiar el enfoque de la entrega a otros mercados lucrativos, lo que hace que la amenaza sea una preocupación para las empresas de todo el mundo.
Incluso cuando están infectados con sLoad, los troyanos bancarios como Ramnit no se instalan inmediatamente. En su lugar, este malware de PowerShell recopila datos sobre los procesos actuales, examina el uso de Outlook y los archivos relacionados con Citrix, comprueba la caché del Sistema de nombres de dominio (DNS) para los dominios bancarios específicos y toma capturas de pantalla que se devuelven a su servidor de C&C. Una vez que se confirma la ubicación geográfica y el entorno favorable del dispositivo, sLoad entrega las cargas útiles finales, como Ramnit, Gootkit o Ursnif.
Cómo defenderse de los ataques de malware PowerShell
El malware sLoad PowerShell incluye un mecanismo de ataque sigiloso, enlaces de phishing personalizados y geofencing de primer nivel. Sin embargo, a pesar de su naturaleza sofisticada, el ataque todavía depende de la acción del usuario para iniciar el proceso de infección. Como resultado, es posible aumentar las defensas corporativas con la estrategia de correo electrónico correcta. Los expertos en seguridad recomiendan realizar simulaciones de suplantación de identidad (phishing) para identificar los puntos débiles e implementar un enfoque de defensa en capas que incluya protección perimetral, servicios de seguridad administrados (MSS) y mayor conocimiento de los empleados.
Cuando se trata del uso específico de PowerShell, un informe reciente de IBM X-Force Incident Response and Intelligence Services (IRIS) señaló que los ataques están aumentando a medida que los actores de amenazas reconocen el valor de ejecutar código directamente en la memoria. En estos casos, una mejor seguridad comienza con la actualización a PowerShell v5 para aprovechar sus capacidades de registro, activar los registros de transcripción para capturar comandos completos y monitorear eventos clave como 4688 (creación de nuevos procesos) y 7045 (nuevo servicio instalado).
Fuente: Securityintelligence.com