Hackers lanzan CoinMiner y Quasar RAT usando la botnet Emotet
Los piratas informáticos están utilizando la red de bots Emotet para explotar archivos comprimidos protegidos con contraseña con el fin de introducir CoinMiner y Quasar RAT en dispositivos vulnerables. Según una de las muestras analizadas por los investigadores de seguridad, se encontró un archivo ZIP con temática de facturas que contenía un archivo anidado autoextraíble (SFX). El primer archivo actúa como conducto para lanzar el segundo.
El ataque fue descubierto por investigadores de seguridad de Trustwave SpiderLabs. Trustwave afirmó haber identificado un aumento de las amenazas empaquetadas en archivos ZIP protegidos con contraseña, y la empresa de seguridad afirmó que alrededor del 96% de estas amenazas se propagaban a través de la red de bots Emotet.
Los investigadores explicaron que la campaña de malspam es única en el sentido de que no es necesario convencer al objetivo para que abra el archivo adjunto. En su lugar, la campaña utiliza un archivo por lotes que proporciona automáticamente la contraseña para desbloquear la carga útil.
El archivo autoextraíble (SFX) utiliza un símbolo PDF o Excel para parecer legítimo. En realidad, el archivo SFX consta de tres componentes: el segundo archivo RAR SFX protegido por contraseña, el script por lotes antes mencionado que inicia el archivo y un PDF o imagen de cebo.
Una vez ejecutado el archivo por lotes, conduce a la instalación del malware que acecha dentro del RARsfx [archivo RAR autoextraíble] protegido por contraseña. Para ello, el script por lotes especifica la contraseña del archivo tbe y la carpeta de destino a la que extraer la carga útil. También lanza un comando para mostrar el documento señuelo para ocultar la actividad maliciosa.
También conocida como técnica de un solo clic, se sabe que salta la barrera de las contraseñas, lo que permite a los actores maliciosos llevar a cabo una amplia gama de acciones, incluyendo el cryptojacking, la exfiltración de datos y el ransomware.
"El archivo autoextraíble existe desde hace mucho tiempo y facilita la distribución de archivos entre los usuarios finales. Sin embargo, supone un riesgo para la seguridad, ya que el contenido de los archivos no es fácilmente verificable y puede ejecutar comandos y ejecutables de forma silenciosa", afirman los investigadores.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.