Detectan malware personalizado para los Juegos Olímpicos de Invierno

Los Juegos Olímpicos de Invierno, que tendrán lugar el próximo mes en Pyeongchang, en Corea del Sur, ya cuentan con su primera campaña de malware, que se sepa.

También puedes leer... Spectre Meltdown Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Investigadores de McAfee han detectado una campaña de phishing y malware contra empresas relacionadas con la celebración de los Juegos, bien sea como proveedores de infraestructura o de soporte. Lo grave de reste ataque, que ya ha sido bautizado como Operation PowerShell Olympics, es que utiliza una forma de malware no vista previamente diseñada para entregar el control de la máquina de la víctima a los atacantes.

Explican los investigadores de McAfee en un post que cuando el usuario pincha sobre el documento adjunto inicia un script de PowerShell oculto. “Los atacantes utilizaron la herramienta de código abierto Invoke-PSImage, lanzada el 20 de diciembre, para insertar la secuencia de comandos de PowerShell en archivo de imagen. La herramienta de funciona insertando los bytes de un script en los píxeles del archivo de imagen, lo que permite al atacante ocultar el código malicioso de PowerShell en una imagen visible en un servidor remoto”, dicen Ryan Sherstobitoff y Jessica Saavedra-Morale.

El objetivo es doble, por un lado, dificultar el análisis y por otro evadir las tecnologías de detección que dependen de la coincidencia de patrones.

Los investigadores han descubierto una dirección IP en Corea del Sur que se conecta a las rutas URL detalladas en los implantes PowerShell, lo que les lleva a creer que varios objetivos se han infectado. McAfee también descubrió otra versión del ataque, en la que el script de PowerShell se implantó directamente en el documento de Word en forma de un archivo HTA.