El grupo de hackers maliciosos Cobalt Strike está abusando de Google App Engine para distribuir malware incrustado en documentos PDF
Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan la aparición de una compleja campaña de ataques de malware en la que los hackers explotan Google App Engine, una plataforma de computación en la nube, para desplegar malware usando archivos PDF especialmente diseñados.
Los principales objetivos de esta campaña son las instituciones de gobierno y financieras, en especial bancos con presencia a nivel mundial, según se menciona en la investigación. A partir de la evidencia recolectada hasta ahora, los investigadores creen que el grupo de hackers Cobalt Strike está detrás de estos ataques.
A principios de 2019, múltiples organizaciones comenzaron a recibir correos electrónicos similares con archivos adjuntos con extensión .eml. Al investigar esta tendencia, los especialistas en seguridad en redes pudieron confirmar que estos archivos adjuntos estaban activando los sistemas de detección de las empresas.
“El archivo PDF detectado en estas organizaciones descarga un documento de Word (Doc102018.doc) con un código macro confuso. Durante la ejecución, la víctima encuentra un mensaje para habilitar el modo edición del documento”.
Regularmente, el lector PDF muestra una advertencia de seguridad cuando un documento está enlazado a un sitio web. Sin embargo, una vez que se recuerda esta acción para este sitio, se permite encadenar cualquier URL dentro de este dominio sin ningún aviso.
“Este ataque es mucho más eficaz debido a que se muestra una URL de Google App Engine para redirigir a la víctima al sitio web malicioso. Debido a que la carga útil aparenta provenir de una fuente confiable, es más probable que los usuarios caigan en la trampa”.
Los expertos recomiendan a los usuarios no descargar archivos adjuntos de fuentes desconocidas, sobre todo si se encuentran en correos electrónicos de procedencia dudosa. Se recomienda además mantener todos los sistemas actualizados e implementar la solución antimalware que mejor parezca a los usuarios.
Esta no es la primera ocasión en la que hackers maliciosos se aprovechan de un servicio de Google para distribuir software dañino. Recientemente fue descubierta en Internet la herramienta DarkHydrus, utilizada para distribuir el malware RogueRobin a través de Google Drive.
Además, múltiples reportes de especialistas de seguridad en redes mencionan el uso de Google Sites y Adwords para distribuir malware usando una versión falsificada del navegador Chrome. También existe evidencia que confirma que hackers maliciosos son capaces de usar los resultados de búsqueda en Google para distribuir variantes de malware mediante campañas de malvertising y de envenenamiento de Search Engine Optimization (SEO).
Fuente: noticiasseguridad.com