El formato de archivo de Consulta de Internet poco común permite que los ataques pasen por encima de las defensas para entrar efectivamente en las redes de destino.
Los investigadores han detectado una campaña de ataque que aprovecha los archivos de consulta de Internet (IQY) para evitar los sistemas de defensa de la empresa y ofrecer una nueva variante del ransomware Paradise.
Paradise ha estado activo desde 2017; ahora, sus operadores están encontrando nuevas formas de entregar el malware. Los archivos IQY son archivos de texto simples leídos por Microsoft Excel para descargar datos de Internet. Es uno de los formatos de archivo de Microsoft Office menos armables conocidos, dicen los investigadores de Lastline. La mayoría de las organizaciones no bloquearán ni filtrarán IQY porque es un tipo de archivo legítimo. Además, los archivos pueden no registrarse como malware porque no hay carga útil; solo una URL.
La campaña está diseñada para engañar a los usuarios para que abran un archivo adjunto IQY, que recupera una fórmula maliciosa de Excel del servidor de comando y control del atacante. Esta fórmula contiene un comando para ejecutar un comando de PowerShell, que descarga e implementa el ransomware. Los investigadores de Lastline pudieron vincular el ejecutable con la familia de ransomware Paradise.
Los investigadores no saben qué grupo criminal es responsable de esta campaña; sin embargo, vale la pena señalar las comprobaciones de ransomware para ver si el ID de idioma de una máquina es ruso, kazajo, bielorruso, ucraniano o tártaro. Si uno de estos valores coincide, el ransomware se cierra.
Leer más detalles esta página.
Quick Hits de Dark Reading ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente original de la noticia, siga el enlace proporcionado en este artículo. Ver Biografía completa
Más Información
