Microsoft: estos piratas informáticos están utilizando un truco simple para ocultar su malware de Windows

Microsoft estos piratas informaticos estan utilizando un truco simple para

Microsoft ha expuesto a Tarrask, una pieza de malware de un grupo de hackers probablemente respaldado por China y patrocinado por el estado que se dirige a las máquinas con Windows mediante la creación de actualizaciones de software programadas e invisibles.

El fabricante de Windows ha atribuido el malware a Hafnium, el mismo grupo de hackers al que EE. UU. y el Reino Unido culparon de los ataques a Exchange Server el año pasado.

Tarrask es una pieza simple de malware que crea tareas programadas no deseadas en las máquinas con Windows para que permanezcan en ellas después de un reinicio. El malware utiliza el Programador de tareas de Windows, que los administradores pueden usar legítimamente para automatizar tareas como actualizaciones de software para navegadores y otras aplicaciones, pero en este caso los atacantes lo están usando por motivos nefastos.

VER: Seguridad de Windows 11: cómo proteger las PC de su hogar y de su pequeña empresa

Las tareas programadas se han convertido en una forma popular de piratear máquinas Windows para persistencia. Microsoft descubrió que los piratas informáticos rusos detrás del ataque a la cadena de suministro de SolarWinds también estaban usando tareas programadas para ganar persistencia en una máquina.

“Descubrimos que los actores de amenazas comúnmente usan este servicio para mantener la persistencia dentro de un entorno de Windows”, señala Microsoft en una publicación de blog y, a pesar de su “simplicidad”, es efectivo.

El malware Tarrask genera determinadas claves de registro tras la creación de una tarea programada, ya sea mediante la interfaz gráfica de usuario del Programador de tareas o la utilidad de línea de comandos schtasks.

En este caso, el uso por parte de los piratas informáticos del Programador de tareas de Windows fue parte de un ataque más amplio a la vulnerabilidad de omisión de autenticación de Zoho Manage Engine Rest API, rastreada como CVE-2021-40539. Microsoft estaba rastreando la explotación de este error en noviembre porque los piratas informáticos respaldados por China estaban usando la administración de contraseñas de Zoho y el software de inicio de sesión único para comprometer las máquinas de Windows con el shell web de Godzilla.

Microsoft dice que los piratas informáticos de Hafnium estaban utilizando esta combinación de servicios legítimos de Windows y el error de Zoho desde agosto de 2021 hasta febrero de 2022 para apuntar a organizaciones en el sector de telecomunicaciones, proveedores de servicios de Internet y servicios de datos. A mediados de 2021, el grupo se había dirigido a investigadores de enfermedades, bufetes de abogados, instituciones de educación superior, contratistas de defensa, grupos de expertos en políticas y ONG.

Tarrask crea tareas programadas ocultas, pero también crea acciones adicionales para ocultar las tareas programadas de la detección del antivirus.

VER: Ciberseguridad: pongámonos tácticos (Informe especial de MarketingyPublicidad.es)

Microsoft ofrece instrucciones sobre cómo los defensores pueden verificar manualmente el árbol de registro para ver si los atacantes han creado estas tareas programadas no deseadas.

Microsoft reconoce que los piratas informáticos de Hafnium han desarrollado una «comprensión única del subsistema de Windows» y la utilizan para «esconderse a simple vista».

Como señala Microsoft, los métodos utilizados por este grupo de ataque son «problemáticos» para los sistemas que no se reinician con tanta frecuencia. Estos pueden incluir sistemas críticos como controladores de dominio y servidores de bases de datos.

Microsoft tiene algunos pasos que los administradores deben tomar para garantizar que estas tareas programadas ocultas puedan detectarse.

«Los actores de amenazas en esta campaña usaron tareas programadas ocultas para mantener el acceso a los activos críticos expuestos a Internet mediante el restablecimiento regular de las comunicaciones salientes con la infraestructura de C&C. Permanezca alerta y controle el comportamiento poco común de sus comunicaciones salientes asegurándose de que el monitoreo y las alertas para estos las conexiones de estos activos críticos de Nivel 0 y Nivel 1 están en su lugar», dijo.

Deja un comentario