Los piratas informáticos aprovechan las fallas del software de escritorio remoto para implementar el malware PlugX
Los actores de amenazas están explotando las vulnerabilidades de seguridad en los programas de escritorio remoto como Sunlogin y AweSun para implementar el malware PlugX.
AhnLab Security Emergency Response Center (ASEC), en un nuevo análisis , dijo que marca el abuso continuo de las fallas para entregar una variedad de cargas útiles en sistemas comprometidos. Esto incluye el marco de trabajo posterior a la explotación de Sliver, el minero de criptomonedas XMRig, Gh0st RAT y el ransomware Paradise .
PlugX es la última incorporación a esta lista. Los actores de amenazas con sede en China han utilizado ampliamente el malware modular , y se agregan continuamente nuevas funciones para ayudar a realizar el control del sistema y el robo de información. En los ataques observados por ASEC, la explotación exitosa de las fallas es seguida por la ejecución de un comando de PowerShell que recupera un ejecutable y un archivo DLL de un servidor remoto. Este ejecutable es un servicio de servidor HTTP legítimo de la empresa de ciberseguridad ESET, que se utiliza para cargar el archivo DLL mediante una técnica llamada carga lateral de DLL y, en última instancia, ejecuta la carga útil de PlugX en la memoria.
“Los operadores de PlugX utilizan una gran variedad de binarios confiables que son vulnerables a la carga lateral de DLL, incluidos numerosos ejecutables de antivirus”, señaló Security Joes en un informe de septiembre de 2022. “Se ha demostrado que esto es efectivo al infectar a las víctimas”.
La puerta trasera también se destaca por su capacidad para iniciar servicios arbitrarios, descargar y ejecutar archivos desde una fuente externa y colocar complementos que pueden recopilar datos y propagarse mediante el Protocolo de escritorio remoto (RDP). “Se están agregando nuevas funciones a [PlugX] incluso hasta el día de hoy, ya que continúa viendo un uso constante en los ataques”, dijo ASEC. “Cuando se instala la puerta trasera, PlugX, los actores de amenazas pueden obtener el control del sistema infectado sin el conocimiento del usuario”.
