Logo Computerhoy.com

Microsoft avisa a las empresas europeas de que hay un nuevo equipo de piratas operando en suelo comunitario

Ciberseguridad
Microsoft presenta Agnus, tecnología blockchain para ofrecer recompensas a quienes denuncien a los piratas de forma anónima

Conocidos como Knotweed, este grupo de piratas informáticos ataca al sector privado para conseguir beneficios. La empresa americana ha dado la alarma para que las compañías europeas vayan con mucho cuidado este verano.

Microsoft ha publicado un análisis de un "actor ofensivo del sector privado" con sede en Europa, con el fin de ayudar a sus clientes a detectar indicios de ataques por parte de estos piratas informáticos.

Apodado Knotweed por el Centro de Inteligencia de Amenazas y el Centro de Respuesta a la Seguridad de Microsoft, el grupo atacante del sector privado ha hecho uso de múltiples exploits de día cero de Windows y Adobe en ataques contra clientes europeos.

El grupo, según Microsoft, una PSOA con sede en Austria. Y aunque parece muy correcto, con un sitio web repleto de lenguaje empresarial sobre la recopilación de información y los 20 años de experiencia de la empresa, según el informe de Microsoft el grupo creó el malware SubZero.

"Las víctimas observadas hasta la fecha", señala Microsoft, "incluyen bufetes de abogados, bancos y consultorías estratégicas en países como Austria, el Reino Unido y Panamá".

No es de extrañar que el malware haga uso de una serie de exploits, incluidos los de día cero, para infiltrarse en los ordenadores de las víctimas.

En 2022, se encontraron exploits empaquetados en un documento PDF enviado por correo electrónico que, al combinarse con un exploit de día cero de escalada de privilegios de Windows, dio lugar al despliegue de SubZero. SubZero es un rootkit que otorga el control total del sistema comprometido.

"La cadena de explotación comienza con la escritura de una DLL maliciosa en el disco desde el proceso de renderización de Adobe Reader", explica Microsoft.

"Luego, cuando el proceso del sistema se generaba, se utilizaba el atributo en el contexto de activación malicioso, se cargaba la DLL maliciosa desde la ruta dada y se lograba la ejecución de código a nivel del sistema", finaliza la empresa.

Mapa ataques ransomware

En 2021 se rastrearon otros ataques que utilizaban vulnerabilidades parcheadas ese año. Una de las implantaciones fue rastreada hasta un archivo de Excel que se hacía pasar por un documento inmobiliario que contenía una macro maliciosa de Excel 4.0.

Una vez dentro, el malware acecha en la memoria y puede hacer: capturas de pantalla, realizar keylogging, filtrar archivos, ejecutar un shell remoto y descargar plug-ins del servidor C2 de Knotweed.

Los investigadores han identificado una serie de direcciones IP bajo el control de Knotweed. De manera deprimente, Microsoft señaló que "esta infraestructura ha estado trabajando activamente malware desde al menos febrero de 2020 hasta el día de hoy".

Descubre más sobre autor/a de este artículo.

Conoce cómo trabajamos en Computerhoy.

Hoy destacamos

Y además