Microsoft lanzó una advertencia sobre un nuevo tipo de malware junto con una explicación de cómo evitar el ataque. Aquí los detalles del nuevo malware y cómo cerrarle la puerta.
Recientemente, Microsoft descubrió un nuevo tipo de malware, al que llamó FoggyWeb. Los ciberdelincuentes están utilizando este software malicioso para robar de forma remota las credenciales del administrador de la red.
El grupo de piratas informáticos utiliza varias tácticas para acceder a las identidades de los usuarios y la infraestructura necesaria que se requiere para tomar el control del uso de su aplicación.
NO DEJES DE LEER: ¡Reels de Instagram llega a la aplicación de Facebook!
Las credenciales permiten al grupo de atacantes, conocido como Nobelium, piratear las cuentas de administrador de los servidores de Active Directory Federation Services (AD FS) y controlar el acceso de los usuarios a varios recursos.
“FoggyWeb es una puerta trasera pasiva y altamente dirigida capaz de extraer de forma remota información confidencial de un servidor AD FS comprometido. También puede recibir componentes maliciosos adicionales de un servidor de comando y control (C2) y ejecutarlos en el servidor comprometido”, dijo Microsoft.
Microsoft explica que el malware actúa como una puerta trasera abierta para los piratas informáticos y facilita el robo remoto de tokens y certificados de la plataforma de identidad de Microsoft.
Microsoft identificó varios módulos utilizados por Nobelium. los cuales incluyen los componentes GoldMax, GoldFinder y Sibot. Estos se crearon con la ayuda de otro malware que el mismo grupo fue declarado culpable de usar. Estos incluyen Sunburst, Solarigate, Teardrop y Sunspot.
Qué debes hacer en caso de ser víctima de un ataque de FoggyWeb
Para los usuarios víctimas del ataque, Microsoft recomienda hacer un diagnóstico local en su equipo y también en la nube para las configuraciones y los ajustes por usuario y por aplicación.
Luego, eliminar el acceso de usuarios y aplicaciones, revisar configuraciones y volver a crear nuevas credenciales y contraseñas más seguras y activar el antivirus para evitar que FoggyWeb robe secretos de los servidores de AD FS.