Cobalt Gang renueva sus métodos de distribución de malware
- Endpoint
El grupo cibercriminal estaría usando un descargador llamado CobInt para infectar sistemas, hacer un reconocimiento de los mismos y posteriormente instalar malware adicional. Proofpoint alerta del aumento en el uso de descargadores de malware.
También puedes leer... |
Investigadores de Proofpoint han descubierto que el grupo cibercriminal conocido como Cobalt Gang está utilizando un nuevo programa de descarga llamado CobInt para infectar y posteriormente instalar malware adicional en sistemas de interés. En agosto y septiembre, observaron cuatro campañas de ataque por separado de Cobalt Gang, en cada una de las cuales usó URLs maliciosas y documentos de Microsoft Word para descargar la primera etapa del malware CobInt. Para esta fase, un descargador básico instaló el componente principal del malware, elemento que fue responsable de ejecutar varios módulos en la etapa posterior.
Los investigadores observaron dos módulos en el momento del descubrimiento. Uno permitió que el malware enviara una captura de pantalla a su servidor de comando y control (C&C), y otro le permitió crear y transferir una lista de procesos en ejecución en la máquina infectada. Aun así, Proofpoint razonó que CobInt probablemente carga módulos adicionales en sistemas de interés una vez que completa sus etapas de reconocimiento.
Según Proofpoint, Cobalt Gang dejó de usar CobInt en mayo antes de volver a utilizarlo dos meses después. Este retorno coincidió con un aumento en el uso de descargadores para infectar máquinas, realizar reconocimientos e instalar malware adicional, como lo demuestra el descubrimiento por Proofpoint de otros dos descargadores, Marap y Advisorsbot, en agosto.
Los profesionales de la seguridad pueden defender sus organizaciones de los descargadores como CobInt adoptando soluciones de inteligencia artificial (IA) para ayudar en la detección de amenazas y desviar y desactivar el malware evasivo. Los expertos de IBM también recomiendan monitorizar y analizar cómo se comportan las aplicaciones en los dispositivos de los usuarios y marcar un comportamiento anómalo para cortar de raíz los ataques futuros.