Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

SHADOWROOT AFECTA ORGANIZACIONES MEDIANTE CAMPAÑAS DE PHISHING CON ARCHIVOS PDF MALINTENCIONADOS

10/10/2024

SHADOWROOT AFECTA ORGANIZACIONES MEDIANTE CAMPAÑAS DE PHISHING CON ARCHIVOS PDF MALINTENCIONADOS
El equipo de analistas del Csirt Financiero ha observado una nueva campaña dirigida a empresas turcas que utiliza técnicas de ingeniería social y ofuscación para evadir las medidas de seguridad tradicionales, permitiéndoles a los ciberdelincuentes distribuir el ransomware ShadowRoot.

Descripción

En esta campaña, los ciberdelincuentes envían correos electrónicos de tipo phishing con archivos PDF maliciosos que, al ser abiertos, descargan un ejecutable desde una cuenta GitHub comprometida, que desencadena la carga útil de ShadowRoot. Este ejecutable se identificó como un binario de Borland Delphi 4.0 de 32 bits que despliega varios archivos, entre ellos RootDesign.exe y Uninstall.exe, además de implementar un ofuscador para aplicaciones .NET conocido como DotNet Confuser, que otorga protección adicional para RootDesign.exe.

Entre los archivos generados por el ejecutable principal, se encuentra PDF.FaturaDetay_202407.exe, que emplea comandos de PowerShell para ejecutar RootDesign.exe de forma oculta, dificultando la detección de esta amenaza en los equipos comprometidos creando varios mutex que funcionan para sincronizar y controlar el acceso a recursos compartidos.

Vector de infección

En la nueva campaña, se ha identificado que el vector de infección principal de ShadowRoot es el phishing a través de correos electrónicos. Los ciberdelincuentes envían correos electrónicos maliciosos que parecen legítimos e incitan a las víctimas a hacer clic en un enlace dentro de un archivo PDF adjunto. Al hacer clic en el enlace, se descarga un ejecutable malicioso que infecta el equipo de la víctima.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (hash md5, sha1 y sha256 son equivalentes).
  • Educar a los empleados sobre el phishing y la ingeniería social, haciendo hincapié en la importancia de no abrir archivos adjuntos o enlaces de correos electrónicos no solicitados.
  • Mantener todos los sistemas operativos, aplicaciones y software de seguridad actualizados con los últimos parches y actualizaciones de seguridad.
  • Limitar los permisos de usuario a lo estrictamente necesario y utilizar el principio de mínimo privilegio.