CIBERDELINCUENTES APUNTAN AL SUBSISTEMA DE WINDOWS PARA LINUX

30/05/2022

BOLETÍN NRO 2022-287

Los ciberdelincuentes están mostrando un mayor interés en el Subsistema de Windows para Linux (WSL) como superficie de ataque a medida que crean nuevo malware, las muestras más avanzadas son adecuadas para el espionaje y la descarga de módulos maliciosos adicionales.

 

Servicios Afectados

• Sistemas operativos Windows
• Sistemas operativos Linux

 

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA   Como implica el nombre de la función, WSL permite ejecutar binarios nativos de Linux en Windows en un entorno que emula el kernel de Linux. Las muestras de malware basadas en WSL descubiertas recientemente se basan en un código de código abierto que enruta la comunicación a través del servicio de mensajería Telegram y brinda al actor de amenazas acceso remoto al sistema comprometido. Los binarios maliciosos de Linux para WSL se descubrieron por primera vez hace más de un año, desde entonces, su número ha crecido constantemente, y todas las variantes disfrutan de bajas tasas de detección, a pesar de estar basadas en código disponible públicamente. Investigadores afirman que han rastreado más de 100 muestras de malware basado en WSL desde el otoño pasado. De las muestras analizadas hasta ahora, dos son particularmente notables ya que pueden actuar como una herramienta de acceso remoto (RAT) o configurar un shell inverso en el host infectado. Una de las muestras más recientes se basó en una herramienta de código abierto basada en Python llamada  RAT-via-Telegram Bot  que permite controlar Telegram y viene con funciones para robar cookies de autenticación de los navegadores web Google Chrome y Opera, ejecutar comandos o descargar archivos, además el malware viene con un token de bot en vivo y una identificación de chat, lo que indica un mecanismo de comando y control activo. Las capacidades adicionales de la variante incluyen tomar capturas de pantalla y recopilar información del usuario y del sistema (nombre de usuario, dirección IP, versión del sistema operativo), que el atacante puede usar para determinar qué malware o utilidades usar en la siguiente fase del compromiso. Los ataques de múltiples etapas resultantes a menudo pasan desapercibidos hasta que es demasiado tarde.

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Vigilar de cerca la actividad del sistema, para identificar rápidamente la actividad sospechosa.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

 

Fuente

• Fuente 1: New Windows Subsystem for Linux malware steals browser auth cookies
• Fuente 2: Equipo de Ciberinteligencia SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com