Los atacantes utilizan el software legítimo de NVIDIA para crear una puerta trasera que permite obtener privilegios de administrador reemplazando el troyano con la utilidad integrada de Windows para leer texto en pantalla..
Expertos en seguridad de la información de BlackBerry Cylance informó esto. Creen que se trata de una cibercampaña dirigida a organizar el sector tecnológico en el sudeste asiático..
"El malware se ha utilizado para atacar a empresas de tecnología, y se implementa mediante carga lateral mediante una aplicación NVIDIA legítima. Como parte del ataque, una versión troyanizada de Windows’ La herramienta de lectura de pantalla Narrador se utiliza para obtener acceso remoto a los sistemas sin necesidad de credenciales”., — informe de los investigadores de BlackBerry Cylance.
El ataque comienza con la entrega al ordenador de la víctima del backdoor PcShare. El malware se distribuye a través de sitios de phishing como parte de la aplicación legítima. Host auxiliar NVIDIA Smart Maximize. Los delincuentes han reemplazado a los NvSmartMax.dll biblioteca con una versión modificada de PcShare.
Las funciones relacionadas con la transmisión en streaming y la interceptación de la entrada del teclado se eliminaron de la puerta trasera original., pero agregaron la capacidad de cifrar el canal de comunicación con el servidor de comando y evitar los servidores proxy. Reemplazando un archivo DLL legítimo, Los ciberdelincuentes pueden cargar el módulo ejecutable en la RAM y entregar otra carga útil al amparo de la utilidad NVIDIA..
“El código de puerta trasera contiene la dirección del servidor de comando intermedio, que almacena instrucciones para interactuar con el centro de control. De este modo, Los atacantes ocultan la dirección del host principal y, si necesario, filtrar el tráfico. Quien creó el malware hizo todo lo posible para esconderse de los radares de seguridad”, – dicen los investigadores.
Habiéndose fijado en la máquina de destino., Los atacantes le envían un troyano que imita las funciones del lector de pantalla de Windows.. Para una aplicación que lee texto de la pantalla, El inicio de sesión se simplifica y se permite la ejecución de otros programas con privilegios del sistema.. después del comienzo, el troyano activa un asistente de voz legítimo y abre un cuadro de diálogo en su nombre, y también inicia un proceso que intercepta acciones con el teclado.
Leer también: Vulnerabilidad en firmware de algunas tarjetas gráficas AMD Radeon permite RCE
El malware espera ingresar una contraseña especial que está integrada en el código., y luego abre un cuadro de diálogo para ejecutar un comando o archivo. De este modo, un ciberdelincuente puede ejecutar código en el dispositivo objetivo incluso sin credenciales de usuario: basta con transferir la clave especificada a la máquina para activar la ventana del troyano.
No hay datos exactos sobre quién está detrás de esta campaña. Los expertos en seguridad creen que el uso de PcShare, así como la geografía de los ataques, puede indicar la agrupación cibernética Soldado tropical, que ataca regularmente a agencias gubernamentales y empresas industriales en Taiwán y Filipinas.
Deja un comentario