Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los piratas informáticos aprovechan un fallo crítico en VMware Workspace One Access
4 de noviembre de 2022 - Equipo de relaciones públicas de TuxCare
Investigadores de la empresa de ciberseguridad Fortinet han descubierto una campaña maliciosa en la que los atacantes aprovechan una vulnerabilidad crítica en VMware Workspace One Access para propagar varios tipos de malware, incluida la herramienta RAR1Ransom, que bloquea archivos en ficheros protegidos con contraseña.
VMware Workspace ONE Access está diseñado para proporcionar a los clientes un acceso más rápido a SaaS, web y aplicaciones móviles nativas con autenticación multifactor, acceso condicional e inicio de sesión único. Básicamente, proporciona una experiencia de usuario más rápida y segura para el espacio de trabajo digital de los usuarios. Algunas de sus principales ofertas son ofrecer una experiencia de usuario similar a la del consumidor para las aplicaciones empresariales, una incorporación más rápida de nuevas aplicaciones, un acceso de confianza cero y un lugar de trabajo digital inteligente.
La vulnerabilidad se rastrea como CVE-2022-22954. Se trata de un fallo de ejecución remota de código que se desencadena a través de la inyección de plantillas en el servidor. En las campañas observadas, los actores de la amenaza utilizan la red de bots Mira para ataques de denegación de servicio distribuido (DDoS), el minero de criptomonedas GuardMiner y la herramienta RAR1Ransom.
En agosto, los atacantes pasaron de intentos dirigidos de exfiltración de datos a criptomineros, tokens de archivos y alistamiento DDoS desde una variante de Miral, utilizando scripts de Bash y PowerShell para atacar sistemas Linux y Windows. Los scripts obtienen una lista de archivos para ejecutar en la máquina comprometida.
Algunos de los archivos descargados por el script PowerShell "init.ps1" incluyen: phpupdate.exe, un software de minería de Monero Xmrig; config.json: archivo de configuración para pools de minería; networkmanager.exe, un ejecutable utilizado para escanear y propagar infecciones; phpguard.exe, un ejecutable utilizado para que el minero guardián Xmrig siga funcionando; clean.bat, un archivo de script para eliminar otros criptomineros en el host comprometido; encrypt.exe, un ransomware RAR1.
Los atacantes utilizan RAR1Ransom como una simple herramienta de ransomware. La herramienta abusa de WinRAR para comprimir los archivos de la víctima y bloquearlos con una contraseña. RAR1Ransom se dirige a una lista específica de tipos de archivos y acaba añadiendo la extensión "rart". A continuación, el malware deja caer una nota de rescate solicitando el pago de 2 XMR a una dirección de monedero proporcionada.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
