Explotación del Proyecto BOINC por el Malware SocGholish para Ciberataques Encubiertos
El malware de descarga conocido como SocGholish, también denominado FakeUpdates, ha sido descubierto utilizando una novedosa táctica para distribuir un troyano de acceso remoto llamado AsyncRAT. Para llevar a cabo estos ataques, los actores maliciosos están aprovechando legítimamente el proyecto de software de código abierto conocido como BOINC (Berkeley Open Infrastructure Network Computing).
¿Qué es BOINC?
BOINC es una plataforma de “computación voluntaria”, gestionada por la Universidad de California, que permite llevar a cabo proyectos de computación distribuida a gran escala utilizando los recursos de computadoras personales de los usuarios. Similar a los mineros de criptomonedas, BOINC recompensa a los usuarios con una criptomoneda específica llamada Gridcoin por su contribución.
Método de Ataque
El método de ataque de SocGholish empieza cuando los usuarios visitan sitios webs comprometidos y se les solicita descargar una falsa actualización del navegador. Al ejecutarla, se lanza una secuencia que descarga y ejecuta cargas útiles adicionales en las máquinas infectadas. Este proceso incluye dos cadenas de ataque: una que despliega una variante sin archivos de AsyncRAT y otra que instala la aplicación BOINC.
Modus Operandi
La aplicación BOINC se camufla bajo nombres como “SecurityHealthService.exe” o “trustedinstaller.exe” para evitar ser detectada. Utilizando un script de PowerShell, se configura una tarea programada para mantener esta persistencia. Estas instalaciones maliciosas se conectan a dominios controlados por el atacante, tales como “rosettahome[.]cn” o “rosettahome[.]top”. Pueden actuar como servidores de comando y control (C2) para recopilar datos del host, transmitir cargas útiles y ejecutar comandos adicionales.
Riesgos y Potenciales Consecuencias
Alrededor de 10,032 clientes estaban conectados a estos dominios maliciosos hasta el 15 de julio de 2024. Si bien hasta el momento no se ha observado una actividad adicional o tareas ejecutadas desde los hosts infectados, se ha teorizado que estas conexiones iniciales podrían ser vendidas a otros actores maliciosos para ejecutar ransomware u otros tipos de ataques.
Respuesta y Acciones
Los mantenedores de BOINC están investigando esta explotación y buscan formas de mitigar esta amenaza. La evidencia sugiere que el abuso del proyecto BOINC comenzó al menos desde el 26 de junio de 2024. La falta de claridad respecto a la motivación y los objetivos del actor detrás de estos ataques subraya el riesgo considerable que presenta esta situación, ya que un atacante motivado podría aprovechar estas conexiones maliciosas para escalar privilegios o moverse lateralmente a través de una red, comprometiendo potencialmente dominios enteros.
Innovaciones en Técnicas de Malware
Esta situación no es aislada. Según Check Point, los autores de malware están utilizando técnicas avanzadas como la compilación de V8 JavaScript para evitar las detecciones estáticas y ocultar troyanos de acceso remoto, ladrones de información, descargadores, mineros de criptomonedas, wipers y ransomware. Esto demuestra la constante evolución y sofisticación de las tácticas empleadas por los desarrolladores de malware para eludir las defensas de seguridad.
Moshe Marelus, un reconocido investigador de seguridad, comenta: “En la batalla continua entre expertos en seguridad y actores de amenazas, los desarrolladores de malware siguen ideando nuevas formas de ocultar sus ataques. No es sorprendente que hayan comenzado a usar V8, dado que esta tecnología es muy extendida y extremadamente difícil de analizar.”
Conclusión
Es crítico para las organizaciones y usuarios mantenerse actualizados sobre las tácticas de los actores maliciosos y adoptar medidas proactivas de ciberseguridad. La explotación de proyectos legítimos como BOINC subraya la necesidad de una vigilancia constante y la implementación de estrategias robustas de mitigación de amenazas.
Para obtener más información sobre las amenazas y vulnerabilidades emergentes en el ámbito de la ciberseguridad, es esencial recurrir a fuentes confiables y actualizar regularmente las medidas de protección en sus sistemas y redes.
Fuente: https://thehackernews.com/2024/07/socgholish-malware-exploits-boinc.html