Eliminar el malware EnvyScout
Los piratas informáticos APT29, también rastreados bajo el nombre de grupo Nobelium, han desatado recientemente una nueva campaña de ataque, que utiliza una gama completamente nueva de muestras de malware. Es probable que las familias de malware no detectadas previamente hayan sido desarrolladas por los delincuentes de Nobelium y se estén utilizando en ataques cuidadosamente planificados, que involucran múltiples etapas de ejecución.
Hasta ahora, la campaña reciente se ha dirigido a varias organizaciones de todo el mundo, la más notable de las cuales es la Agencia de los Estados Unidos para el Desarrollo Internacional (USAID). Al parecer, los piratas informáticos lograron comprometer una de las cuentas de correo electrónico de la organización y luego abusar de ella para enviarla. correos electrónicos no deseados que envían las distintas cargas útiles. Las organizaciones objetivo cubren una amplia gama de sectores como el desarrollo, humanitario, político y varias organizaciones sin fines de lucro.
Una de las primeras cargas útiles involucradas en estos ataques se llama EnvyScout. Es un archivo malicioso muy simple, que usa una combinación de HTML y JavaScript para intentar cargar una imagen especial desde un servidor externo. Sin embargo, la forma en que se realiza la carga permite a los atacantes obtener las credenciales de Windows NTLM (NT Lan Manager) del usuario en un estado codificado. Luego pueden intentar recuperar la contraseña de texto sin formato y usarla para comprometer la máquina de la víctima con el fin de implementar cargas útiles adicionales.
EnvyScout Malware es la primera etapa de la cadena de ataques que los hackers del Nobelium realizan en su reciente operación. Los usuarios deben tener cuidado con los correos electrónicos sospechosos que les piden que descarguen y vean un archivo adjunto; siempre debe escanear dichos archivos con la ayuda de una herramienta de seguridad adecuada.
