Se ha descubierto un malware que se esconde en el logo de inicio en Windows
De momento ha afectado a Oriente Medio y África
Los virus y el malware campas a sus anchas en esta era conectada. Constantemente anunciamos nuevos peligros que nos acechan y ahora se ha descubierto una campaña contra usuarios de Windows realmente sorprendente.
Principalmente porque, tal y como informan desde BleepingComputer, se ha descubierto una campaña por parte del grupo de hackers 'Witchetty', que utiliza el logotipo de Windows para ocultar un malware de puerta trasera.
Por si no conoces al grupo “Witchetty”, estamos ante una organización de piratas informáticos de primer nivel, aliados con Cicada o APT10, el grupo de hackers chinos más peligroso. Anteriormente habían atacado a proveedores de energía americanos y ahora se ha descubierto este peligroso malware.
Un malware que se oculta en el logo de Windows
Ha sido la empresa de seguridad Symantec la que ha descubierto esta nueva campaña de ciberespionaje lanzada en febrero de 2022 y que fue dirigida a dos gobiernos en Oriente Medio y África.
Para ello, los piratas informáticos buscaron vulnerabilidades en el sistema y escondieron el malware usando el logotipo de Windows en un tipo de ataque llamado “esteganografía”.
Por si no conoces este ataque, consiste en ocultar información dentro de una información pública, evitando su detección. Por ejemplo, se utilizaba antes en redes de pederastia para ocultar imágenes de menores en fotografías normales. Y este grupo de hackers han usado esteganografía para ocultar su carga maliciosa del software antivirus en la imagen de mapa de bits del logotipo de Windows.
Este archivo malicioso se aloja en un servicio en la nube, lejos del servidor de comando y control (C2) en el sistema para evitar que pueda saltar una alerta de seguridad.
"Ocultar la carga útil de esta manera permitió a los atacantes alojarla en un servicio gratuito y confiable", explica Symantec en su informe ."Es mucho menos probable que las descargas desde hosts confiables como GitHub generen señales de alerta que las descargas desde un servidor de comando y control (C&C) controlado por un atacante".
Como informan desde Bleeping computer “el ataque comienza cuando los actores de amenazas obtienen acceso inicial a una red al explotar Microsoft Exchange ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y ProxyLogon (CVE-2021-26855 y CVE- 2021-27065) cadenas de ataque para colocar webshells en servidores vulnerables.”
Cuando consiguen acceso pueden abrir archivos y directorios, iniciar o cerrar procesos, modificar el registro de Windows, descargar archivos y mucho más. Todo a través de un proxy que les permite utilizar cualquier equipo infectado de forma remota.
TA410 y Witchetty siguen siendo amenazas activas para los gobiernos y las organizaciones estatales en Asia, África y en todo el mundo. Y desde Symantic recomiendan estar alerta porque esta vulnerabilidad es una de las más peligrosas encontradas hasta la fecha.