Detectan que Windows Defender y WSL han sido explotados para propagar malware

Nuevo malware detectado que afecta a Windows Defender y a WSL.

Ataque a Windows Defender y a WSL
Ataque a Windows Defender y a WSL
  • Descubierto un nuevo malware que deshabilita a Windows Defender sin que te enteres y así hacerse con tus datos.

Hoy en día las compañías que se dedican  al desarrollo y distribución de software informáticos tienen la responsabilidad de ofrecer programas seguros con el objetivo de mantener a sus usuarios lejos de los piratas informáticos. Es el caso de Microsoft, la compañía lanza cada mes lanza una actualización de seguridad en donde van solucionando vulnerabilidades que ponen en riesgo la seguridad de sus usuarios, sin embargo, recientemente han descubierto una nueva vulnerabilidad que al parecer ya ha sido explotada por los ciberdelincuentes, involucra a Windows Defender y a WSL.

Se ha reportado que el antivirus de Microsoft (Windows Defender) y el subsistema de Linux han sido explotados por los piratas informáticos con el fin de difundir códigos maliciosos y el objetivo de capturar datos sensibles.

Ataque a Windows Defender y a WSL
Ataque a Windows Defender y a WSL

Atacan a Windows Defender y WLS con malware

De acuerdo al primer reporte de los investigadores de seguridad, el antivirus de los Redmond, Windows Defender se utilizo para llevar a cabo ataques con malware, pero no generalizado, si no dirigido a usuarios de algunos bancos de Europa.

El malware creado por los delincuentes es denominado como, el cual podía desactivar fácilmente el antivirus de Microsoft, acción que le permitía evadir la detección de robo de datos bancarios a los usuarios.

«ZLoader es un troyano bancario típico que implementa la inyección web para robar cookies, contraseñas y cualquier información confidencial. Ataca a usuarios de instituciones financieras de todo el mundo y también se ha utilizado para distribuir familias de ransomware como Egregor y Ryuk. También proporciona funcionalidad de puerta trasera y actúa como un cargador genérico para entregar otras formas de malware. Las versiones más recientes implementan un módulo VNC que permite a los usuarios abrir un canal encubierto que brinda a los operadores acceso remoto a los sistemas de las víctimas. ZLoader se basa principalmente en el intercambio dinámico de datos (DDE) y la ofuscación de macros para entregar la carga útil final a través de documentos preparados.Una evolución reciente de la cadena de infección ha incluido la creación dinámica de agentes, que descargan la carga útil de un servidor remoto. La nueva cadena de infección observada por SentinelLabs demuestra un mayor nivel de invisibilidad al deshabilitar Windows Defender y confiar en los scripts y binarios LOLBAS para evadir la detección. Durante nuestra investigación, también pudimos mapear toda la nueva infraestructura ZLoader C2 relacionada con la botnet “Tim” e identificar el alcance de la campaña y sus objetivos, que se referían principalmente al robo de credenciales bancarias de clientes bancarios europeos.»

Otro informe de seguridad indica que los piratas informáticos desarrollaron binarios maliciosos de Linux con el fin de explotar el subsistema de Windows para Linux (WSL) con el objetivo de comprometer y evadir la detección de malware en Windows.

«Black Lotus Labs identificó recientemente varios archivos maliciosos escritos principalmente en Python y compilados en el formato binario ELF (Executable and Linkable Format) de Linux para el sistema operativo Debian. Estos archivos actuaron como cargadores ejecutando una carga útil incrustada en el ejemplo o recuperada de un servidor remoto y luego inyectada en un proceso en ejecución mediante llamadas a la API de Windows. Si bien este enfoque no fue particularmente sofisticado, la novedad de usar un cargador ELF diseñado para el entorno WSL le dio a la técnica una tasa de detección de uno o cero en Virus Total, dependiendo de la muestra, en el momento de escribir este artículo.Hasta ahora, hemos identificado un número limitado de muestras con solo una dirección IP enrutable públicamente, lo que indica que esta actividad tiene un alcance bastante limitado o potencialmente aún está en desarrollo. Hasta donde sabemos, este pequeño conjunto de ejemplos indica la primera instancia de un actor que abusa de WSL para instalar cargas útiles posteriores».

¿Qué te parece este ataque?