El ataque utiliza JavaScript incrustado que desencadena la descarga de malware cuando los usuarios inician sesión con credenciales específicas. La página comprometida engaña a los usuarios con un mensaje de “mantenimiento”, a la vez que ofrece un enlace para descargar un software de descompresión legítimo, Lhaplus, para ejecutar el archivo malicioso.
El malware, localizado dentro de un archivo LNK, contiene un ZIP que incluye código malicioso y scripts para su ejecución, camuflándose como un archivo legítimo. El malware, denominado SQRoot, se conectará a un servidor de comando y control (C2) para descargar complementos adicionales que amplían su funcionalidad. Estos complementos incluyen diversas capacidades, como el acceso remoto y la ejecución de código shell.
SQRoot utiliza cifrado para comunicar información con el servidor C2, evitando la detección mediante la simulación de tráfico web normal en horarios específicos. Además, se reporta la existencia de SQRoot Stealer, un componente diseñado para robar información del sistema infectado, que actúa de manera similar al malware principal, cargándose a través de archivos legítimos.
El análisis sugiere que el grupo detrás del ataque podría estar relacionado con actores de amenazas conocidos, dado el uso de herramientas y técnicas anteriores utilizadas por APT10. El ataque revela un punto notable sobre la ciberseguridad actual: a menudo se pasa por alto el riesgo de ingeniería social en favor de abordar vulnerabilidades técnicas. Este enfoque insuficiente puede llevar a que los usuarios sean explotados, enfatizando la importancia de la educación en seguridad para prevenir este tipo de ataques.
En conclusión, el artículo resalta la sofisticación de las técnicas de ingeniería social en ciberataques recientes, destinadas a explotar la ingenuidad humana más que a vulnerabilidades de software. Se evidencia la necesidad de vigilancias más amplias en la seguridad cibernética, enfocándose no solo en las falencias técnicas sino también en el comportamiento y la conciencia del usuario.
Enlace de la fuente, haz clic para tener más información