Una nueva variante del malware TrueBot ataca a organizaciones de EE.UU.
Una nueva variante del malware TrueBot se ha utilizado en ataques contra organizaciones de Estados Unidos y Canadá.
El malware se entrega a través de una vulnerabilidad de ejecución remota de código (RCE) en el software Netwrix Auditor, rastreada como CVE-2022-31199. Una vez instalado, el malware recopila información sobre el sistema infectado y la utiliza para llevar a cabo otras actividades maliciosas, como distribuir malware adicional o robar datos.
Una vez que el malware Truebot se ejecuta en un sistema, realiza varias acciones para identificar y explotar vulnerabilidades. Comprueba la versión del sistema operativo (SO) del sistema y la arquitectura del procesador, creando una identificación única para el sistema comprometido. Esta información se almacena como un archivo de nombre aleatorio de 13 caracteres con extensión .JSONIP en el directorio C:\ProgramData.
Además, el malware enumera todos los procesos en ejecución en el sistema, excluyendo una lista predefinida de procesos comunes de Windows. Los nombres de los procesos restantes se concatenan en una cadena codificada en base64, lo que permite a los atacantes llevar a cabo sus actividades maliciosas discretamente. Horas después de la infección inicial, se ha observado a Truebot inyectando balizas Cobalt Strike en la memoria. Las balizas permanecen en modo latente durante las primeras horas antes de iniciar operaciones adicionales.
Un informe conjunto publicado por Cybersecurity and Infrastructure Security Agency (CISA), el Federal Bureau of Investigation (FBI), el Multi-State Information Sharing and Analysis Center (MS-ISAC) y el Canadian Centre for Cyber Security (CCCS) recomienda a las organizaciones que busquen la actividad maliciosa siguiendo las orientaciones descritas en el CSA, así como aplicando los parches del proveedor a Netwrix Auditor (versión 10.5).
El informe conjunto también incluye un amplio conjunto de indicadores de compromiso (IOC) y reglas Yara que las organizaciones pueden utilizar para detectar la presencia del malware Truebot. Estos recursos ayudarán a identificar y neutralizar la amenaza, reforzando la seguridad de la red contra esta amenaza en evolución.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.