Recientemente, se ha identificado una nueva amenaza cibernética que afecta a los usuarios de Medio Oriente. Se trata de un malware que se disfraza de Global Protect, una popular herramienta de red privada virtual (VPN) de Palo Alto Networks.
El malware descubierto emplea un proceso de dos etapas para establecer conexiones con una infraestructura de comando y control (C2). Esta infraestructura se presenta como un portal VPN legítimo. Aunque el vector de intrusión inicial es desconocido, se sospecha que utiliza técnicas de phishing para engañar a los usuarios.
El punto de inicio es un archivo binario denominado setup.exe, que implementa el componente principal de puerta trasera identificado como GlobalProtect.exe. Al ser instalado, este componente inicia un proceso de “beaconing” que notifica a los operadores sobre el avance del mismo. Este ejecutable también coloca dos archivos de configuración adicionales, RTime.conf y ApProcessId.conf, para filtrar información del sistema a un servidor C2 (IoC: 94.131.108[.]78), incluyendo la dirección IP de la víctima, detalles del sistema operativo, nombre de usuario, nombre de la máquina y secuencia de tiempo de suspensión. La puerta trasera sirve como conducto para cargar archivos, descargar cargas útiles de la siguiente etapa y ejecutar comandos de PowerShell.
El malware implementa una técnica de evasión para evitar el análisis de comportamiento y las soluciones sandbox verificando la ruta del archivo del proceso y el archivo específico antes de ejecutar el bloque de código principal.
Recomendaciones:
Concientización y capacitación de los usuarios: la realización de capacitaciones periódicas sobre los diversos ataques de ingeniería social, la actualización constante sobre nuevas tácticas, y la instrucción para identificar señales de alerta comunes son esenciales para prevenir que los usuarios caigan en las trampas de la ingeniería social.
Principio del mínimo privilegio: limitar el acceso de los colaboradores, a los datos y sistemas estrictamente necesarios, minimiza el riesgo de que los atacantes accedan a información crítica, incluso en caso de una intrusión exitosa.
Seguridad del correo electrónico y la Web: las organizaciones deben adoptar soluciones robustas de seguridad para el correo electrónico y la web, con el fin de filtrar y bloquear contenido malicioso y sospechoso.
Referencias: