Microsoft avisa a las empresas europeas de que hay un nuevo equipo de piratas operando en suelo comunitario | Tecnología

Conocido como Knotweed, este grupo de piratas informáticos apunta al sector privado para obtener ganancias. La compañía americana ha dado la voz de alarma para que las empresas europeas tengan mucho cuidado este verano.

Microsoft ha publicado un análisis de un «actor ofensivo del sector privado» con sede en Europa para ayudar a sus clientes a detectar signos de ataques de estos piratas informáticos.

Apodado Knotweed por Microsoft Threat Intelligence Center y Security Response Centerel grupo de ataque del sector privado ha utilizado múltiples exploits de día cero de Windows y Adobe en ataques contra clientes europeos.

El grupo, según Microsoft, es una PSOA con sede en Austria. Y aunque parezca muy correcto, con un sitio web lleno de lenguaje empresarial sobre recopilación de información y los 20 años de experiencia de la empresasegún el informe de Microsoft, el grupo creó el malware SubZero.

«Víctimas vistas hasta la fecha«, señala Microsoft, «incluyen despachos de abogados, bancos y consultorías estratégicas en países como Austria, Reino Unido y Panamá«.

No es sorprendente que el malware haga uso de una serie de vulnerabilidadesincluyendo zero-days, para infiltrarse en las computadoras de las víctimas.

En 2022, se encontraron exploits empaquetados en un documento PDF enviado por correo electrónico.o que, cuando se combina con un exploit de día cero de escalada de privilegios de Windows, condujo a la implementación de SubZero. síubZero es un rootkit que brinda control total del sistema comprometido.

«La cadena de explotación comienza con una DLL maliciosa que se escribe en el disco desde el proceso de renderizado de Adobe Reader.«, explica Microsoft.

«Luego, cuando se generó el proceso del sistema, el atributo se usó en el contexto de activación maliciosa, la DLL maliciosa se cargó desde la ruta dada y se logró la ejecución del código a nivel del sistema.«, finaliza la empresa.

Mapa de ataques de ransomware

Microsoft logra frenar el mayor ataque DDoS en la historia de internet

Otros ataques que utilizaron vulnerabilidades parcheadas ese año se rastrearon en 2021. Una de las implantaciones se rastreó hasta un archivo de Excel disfrazado de documento inmobiliario que contenía una macro maliciosa de Excel 4.0.

Una vez dentro, el malware acecha en la memoria y puede hacer: capturas de pantalla, registro de teclas, filtrado de archivos, ejecución de un shell remoto y descarga de complementos del servidor C2 de Knotweed.

Los investigadores han identificado varias direcciones IP bajo el control de Knotweed. Deprimente, Microsoft señaló que «esta infraestructura ha estado trabajando activamente con malware desde al menos febrero de 2020 hasta el día de hoy«.