AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Dominio typosquatted suplanta Microsoft Activation Scripts para distribuir Cosmali Loader vía PowerShell

admin

## Introducción

En los últimos días, se ha detectado una campaña de distribución de malware que utiliza técnicas de typosquatting para suplantar la identidad del popular proyecto Microsoft Activation Scripts (MAS). El objetivo de esta campaña es infectar sistemas Windows con el ‘Cosmali Loader’, un malware que emplea sofisticados scripts PowerShell como vector de infección inicial. Este incidente pone de relieve la evolución de las tácticas de ingeniería social y la creciente sofisticación de los atacantes en la cadena de suministro de software.

## Contexto del Incidente

Microsoft Activation Scripts es una herramienta ampliamente utilizada para la activación de productos Microsoft, especialmente en entornos donde la gestión de licencias puede resultar compleja o requiere automatización. Los actores de amenazas han registrado un dominio cuyo nombre es una variante tipográfica del dominio legítimo de MAS (typosquatting), con el objetivo de engañar a los usuarios para que descarguen versiones comprometidas del software.

La campaña, detectada en junio de 2024, se caracteriza por la distribución de archivos comprimidos que contienen scripts PowerShell maliciosos. Esta táctica no solo explota la confianza de los usuarios en el proyecto MAS, sino que también aprovecha la popularidad de la herramienta en foros y comunidades técnicas.

## Detalles Técnicos

El dominio typosquatted suplanta visualmente al sitio original de Microsoft Activation Scripts, proporcionando descargas que, en lugar de la utilidad legítima, contienen scripts PowerShell modificados. Estos scripts actúan como dropper para el Cosmali Loader, un malware diseñado para obtener persistencia y ejecutar payloads adicionales en sistemas Windows comprometidos.

**Vectores de ataque**:
– Ingeniería social a través de dominios typosquatted.
– Descarga y ejecución de scripts PowerShell ofuscados.
– Uso de archivos comprimidos (ZIP/RAR) para evadir controles de seguridad.

**Detalles del malware y TTPs (MITRE ATT&CK)**:
– **T1189** (Drive-by Compromise): El usuario descarga herramientas de un sitio web comprometido.
– **T1059.001** (Command and Scripting Interpreter: PowerShell): El payload inicial utiliza PowerShell de forma ofuscada para evadir detección.
– **T1204.002** (User Execution: Malicious File): La ejecución del script requiere interacción del usuario.
– **T1055** (Process Injection): Cosmali Loader puede inyectar payloads en procesos legítimos para evadir EDR/antivirus.

**Indicadores de compromiso (IoC)**:
– Dominios typosquatted similares al original del proyecto MAS.
– Hashes de los scripts PowerShell y archivos ZIP maliciosos.
– Cadenas ofuscadas típicas de Cosmali Loader en logs de PowerShell.

No se han publicado aún CVEs específicos asociados a esta campaña, dado que la vulnerabilidad explotada es principalmente de tipo humano (ingeniería social) y no técnica.

## Impacto y Riesgos

El impacto potencial de esta campaña es significativo. El Cosmali Loader es conocido por su capacidad para descargar y ejecutar payloads adicionales, entre ellos troyanos bancarios, stealers de credenciales y RATs (Remote Access Trojans). La infección puede derivar en:
– Exfiltración de información sensible y credenciales.
– Compromiso de cuentas corporativas y personales.
– Movimientos laterales en redes empresariales.
– Uso de los sistemas comprometidos como parte de botnets.

Según primeras estimaciones, la campaña ha afectado a cerca del 2% de los usuarios que buscaban descargar MAS en las últimas semanas, con infecciones confirmadas en entornos domésticos y empresariales.

## Medidas de Mitigación y Recomendaciones

Para prevenir infecciones derivadas de este tipo de campañas, se recomienda:
– **Verificar siempre la URL de descarga** de herramientas antes de ejecutar archivos descargados.
– Implementar soluciones EDR con capacidad de monitorización de scripts PowerShell y detección de comportamiento anómalo.
– Bloquear la ejecución de PowerShell no firmado o limitar su uso a cuentas administrativas controladas.
– Utilizar listas blancas de aplicaciones (AppLocker/Windows Defender Application Control).
– Mantener actualizados los indicadores de compromiso en soluciones SIEM y monitorizar logs de PowerShell.
– Concienciar a los usuarios y equipos técnicos sobre los riesgos del typosquatting.

## Opinión de Expertos

Especialistas de diversos CSIRT y analistas de amenazas han señalado que el typosquatting sigue siendo una de las técnicas más efectivas para comprometer la cadena de suministro en el software de uso masivo. “Las campañas que suplantan herramientas legítimas mediante dominios similares son especialmente peligrosas, ya que los usuarios experimentados pueden confiarse y no detectar la suplantación hasta que es demasiado tarde”, advierte Julio García, analista jefe de amenazas en una multinacional europea.

## Implicaciones para Empresas y Usuarios

Para los equipos de seguridad corporativos, este incidente subraya la importancia de auditar las fuentes de descarga y limitar el uso de herramientas no autorizadas. Las empresas sujetas a GDPR o NIS2 pueden enfrentar sanciones considerables en caso de brechas de datos asociadas a infecciones por malware descargado desde fuentes no verificadas. Los administradores deben reforzar sus políticas de gestión de software y establecer controles de acceso estrictos para la ejecución de scripts.

Para los usuarios individuales, el incidente es un recordatorio de la necesidad de extremar precauciones al descargar utilidades y de la importancia de contar con soluciones de seguridad proactivas.

## Conclusiones

La campaña de distribución de Cosmali Loader mediante typosquatting del dominio de Microsoft Activation Scripts representa una amenaza real y creciente para la comunidad técnica y empresarial. La sofisticación de los atacantes y el uso de técnicas avanzadas de ingeniería social requieren una respuesta coordinada basada en la concienciación, la monitorización proactiva y la validación constante de fuentes de software. La seguridad en la cadena de suministro digital sigue siendo uno de los grandes retos de la ciberseguridad actual.

(Fuente: www.bleepingcomputer.com)