DeathStalker, un grupo de piratas informáticos a sueldo, ha desarrollado un nuevo malware de Windows PowerShell denominado PowerPepper , informa Kaspersky.
¿Qué se ha descubierto?
En mayo, se descubrió el nuevo implante PowerPepper mientras el grupo utilizaba un implante basado en PowerShell conocido como Powersing en sus ataques. Desde entonces, el malware se ha actualizado varias veces.
- PowerPepper es una puerta trasera en memoria basada en Windows PowerShell. Permite a sus operadores ejecutar comandos de shell de forma remota mediante un servidor de comando y control (C2).
- El grupo ha estado activo desde 2012 y está dirigido a pequeñas y medianas empresas que operan en los sectores jurídico y financiero.
¿Cómo funciona?
- El nuevo malware de puerta trasera tiene varias capacidades anti-detección, como filtrado de direcciones MAC del cliente, detección de movimiento del mouse, inventario de productos antivirus y manejo de aplicaciones de Excel.
- Utiliza correos electrónicos de phishing con archivos adjuntos maliciosos o enlaces a documentos, incluidas macros VBA maliciosas que ejecutan PowerPepper y obtienen persistencia en sistemas comprometidos.
Sin embargo, su método de infección cambió un poco entre julio y noviembre.
Los hackers de alquiler están ganando terreno
Más grupos de ciberdelincuentes ofrecen activamente sus servicios para ganar dinero y crecer rápidamente.
- Recientemente, se observó que CostaRicto , un grupo de piratas informáticos contratados, atacaba a víctimas en varios continentes en al menos 13 países diferentes.
- Anteriormente, el grupo Bahamut había estado usando phishing, aplicaciones maliciosas y ataques de día cero contra sus víctimas.
Conclusión
Para frustrar los nefastos esfuerzos de los ciberdelincuentes, los expertos sugieren a las organizaciones (de todos los tamaños) que implementen soluciones de seguridad de endpoints con detección y respuesta de endpoints (EDR) mientras evitan hacer clic en enlaces y correos electrónicos sin verificar la legitimidad.
