noviembre 30, 2022

CORSA Online

Información sobre Argentina. Seleccione los temas sobre los que desea obtener más información en Corsa Online

Cryptojacking activo a través de una vulnerabilidad de carga lateral en Microsoft OneDrive

El cryptojacking es un riesgo creciente: los piratas utilizan los recursos de las computadoras o dispositivos móviles infectados para usar sus recursos para su encriptación. En mayo y junio de 2022, Bitdefender descubrió una campaña de ataque global en la que los ciberdelincuentes aprovecharon vulnerabilidades conocidas para cargar archivos DLL en microsoft onedrive Explotarlo para instalar malware de cifrado en los sistemas de las víctimas.

  • En principio, pueden descargar cualquier malware a través de la vulnerabilidad, incluido el malware.
  • Atacó 700 instancias de Microsoft OneDrive detectadas por Bitdefender en mayo y junio de 2022.
  • Alemania se encuentra entre los países más afectados a nivel mundial
  • Microsoft no interpreta la instalación de prueba de DLL como una vulnerabilidad.
  • La vulnerabilidad de carga lateral conocida también es adecuada para ataques de ransomware o para infecciones de spyware.

El sistema operativo Windows y otras aplicaciones se basan en archivos DLL que proporcionan o amplían la funcionalidad. Una vez que una aplicación necesita una función en una DLL en particular, la busca en el orden predeterminado, primero en el directorio desde el que se cargó la aplicación, luego en el directorio del sistema, en el directorio del sistema de 16 bits, en el directorio de Windows, en el directorio actualmente en uso y recientemente en los directorios enumerados en la variable de entorno de ruta. Si no se especifica la ruta completa de los archivos DLL requeridos, la aplicación intentará encontrar el archivo en las rutas dadas. Si los piratas informáticos implementan una DLL maliciosa en la ruta de búsqueda, la aplicación se cargará y ejecutará silenciosamente en lugar de la aplicación que realmente la necesita.

Imagen 1: Distribución global de la campaña OneDrive: campaña principalmente en EE. UU., India, Francia, Rumanía, Italia y Alemania. (Fuente: Bitdefender)

Descargue archivos DLL maliciosos a través de OneDrive.exe o OneDriveStandaloneUpdater.exe

En el ataque analizado por Bitdefender, los atacantes escriben un archivo falso secure32.dll en la ruta %appdata%\Local\Microsoft\OneDrive sin privilegios especiales. OneDrive procesa OneDrive.exe o OneDriveStandaloneUpdater.exe y luego los carga.

READ  La nueva actualización Stinger's Debut de EVERSPACE 2 ya está disponible en Steam, GOG y pronto también en la Tienda Windows

Dado que %appdata%\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe está programado para ejecutarse diariamente, los archivos DLL falsos aún están presentes en el sistema de la víctima.

Además, los atacantes instalan la DLL falsa en el sistema a través de %appdata%\Local\Microsoft\OneDrive\OneDrive.exe. Puede configurar OneDrive.exe para que se inicie con cada reinicio mediante el registro de Windows.

Después de cargar el archivo falso secure32.dll a través de esos procesos de OneDrive, vuelve a cargar el programa de cifrado y lo infecta en los procesos legítimos de Windows.

De la misma manera, los atacantes también pueden instalar ransomware o spyware en los sistemas.

En la criptocampaña, los piratas informáticos implementaron algoritmos para extraer cuatro criptomonedas: Etchasch en particular, así como ethash, ton y xmr. En promedio, los ciberdelincuentes obtienen una ganancia de $13 por computadora infectada. Las víctimas notan pérdidas en el rendimiento de los sistemas.

Horario de la campaña
Figura 2: Durante la campaña de mayo y junio, los atacantes reinterpretaron el ataque varias veces. (Fuente: Bitdefender)

Microsoft: Instale OneDrive “por dispositivo”.

Los usuarios pueden microsoft onedrive Instale “por usuario” o “por dispositivo”. La configuración predeterminada es la instalación “por usuario”. En esta configuración, los usuarios sin privilegios especiales pueden escribir en la carpeta donde se encuentra OneDrive. Los piratas informáticos pueden colocar malware aquí, modificar archivos ejecutables o sobrescribirlos por completo. Por lo tanto, Microsoft recomienda que instale OneDrive “por dispositivo”. Puede encontrar instrucciones sobre cómo hacer esto aqui.

código NL 1

Se necesitan más precauciones

Sin embargo, la instalación “por dispositivo” no es adecuada para todos los entornos o todos los niveles de privilegio. Entonces, Bitdefender advierte a los usuarios de OneDrive que tengan mucho cuidado. Tanto la protección antivirus como el sistema operativo utilizado deben estar siempre actualizados. Tenga cuidado al descargar software descifrado o trucos de juegos.

READ  Actualizaciones de Game Pass de diciembre de 2021: Ring Free para Between Us, Halo Infinite y Stardew Valley

Más información:

estudio completo aqui Disponible.

www.bitdefender.com