Microsoft advierte sobre múltiples campañas de malspam que contienen archivos de imagen de disco maliciosos



Imagen: Geralt en Pixabay Microsoft dice que sus modelos avanzados de detección de amenazas de aprendizaje automático han ayudado a su personal a detectar múltiples campañas de spam malicioso (malspam) que distribuyen archivos de imagen de disco infectados con malware. La campaña, detectada la semana pasada, está utilizando señuelos COVID-19 (líneas de asunto de correo electrónico) para engañar a los usuarios para que descarguen y ejecuten archivos adjuntos ISO o IMG. En una serie de tweets de hoy, Microsoft dijo que estos archivos están infectados con una versión del troyano de acceso remoto (RAT) Remcos, que brinda a los atacantes un control total sobre los hosts infectados.
Microsoft dice que los atacantes han sido persistentes y han lanzado múltiples ejecuciones de spam diferentes, dirigidas a empresas de diferentes industrias, en varios países de todo el mundo. Los más importantes incluyen ejecuciones de spam como: El objetivo final de esta operación es actualmente desconocido; sin embargo, los actores de la amenaza podrían estar buscando empresas para detectar futuros ataques, como ransomware, estafas BEC o espionaje industrial. "Lo principal que realmente queríamos llamar, y por qué llamó nuestra atención, es por los señuelos COVID-19 y también [por] las técnicas ligeramente diferentes que encontramos y los tipos de archivos adjuntos que están enviando", Tanmay Ganacharya, Director de Investigación de Seguridad de Microsoft Threat Protection, le dijo a ZDNet en una entrevista.
"Están usando archivos de imagen e ISO, lo cual no es muy común. No es como si fuera la primera vez que lo vemos, pero tampoco es muy común que los atacantes lo hagan". Se aconseja a las empresas que reciben este tipo de archivos adjuntos de correo electrónico que no ejecuten los archivos adjuntos.
Estos ataques en curso se descubrieron después de que Microsoft detectó un comportamiento sospechoso en las instalaciones de Defender. Ganacharya acreditó la apuesta de Microsoft en el aprendizaje automático como la razón por la cual la compañía vio esta campaña en primer lugar. Hoy, el producto antivirus de Microsoft ha evolucionado a partir de las técnicas antiguas y anticuadas de detección de malware basadas en firmas de archivos.
Ganacharya dice que el polimorfismo de malware (malware que muta a intervalos regulares) y el malware sin archivos (malware que se ejecuta únicamente en la RAM, sin rastros en el disco) ahora se usan ampliamente. Esto coloca a los proveedores de antivirus siempre un paso por detrás de la mayoría de las operaciones de malware, si el antivirus se basa únicamente en detectar la presencia de un archivo incorrecto conocido. "El panorama de amenazas ha cambiado significativamente con ataques sin archivos, con polimorfismo.
En más del 96 por ciento de las amenazas que vemos en todo el mundo [...
], es un archivo único por máquina", dijo Ganacharya. En cambio, Ganacharya dice que Microsoft Defender ahora confía en el aprendizaje automático para detectar comportamientos sospechosos que ocurren en un host y generar alertas para que sus ingenieros investiguen. En todo esto, los modelos de aprendizaje automático de Defender son ahora el arma principal de la compañía contra ataques de malware desconocidos y actores de amenazas, lo que ayuda a Microsoft a detectar ataques en sus puntos más tempranos.
"Hemos estado haciendo muchas inversiones en los últimos tres o cuatro años", dijo el ejecutivo de Microsoft. "Hemos estado haciendo muchas inversiones en términos de agregar motores a Defender, alrededor de capturar la secuencia de comportamientos, capturar el contenido del archivo en sí, el motor del modelo de aprendizaje automático del lado del cliente, los motores del modelo de aprendizaje automático del lado de la nube". "Entonces, la forma en que pensamos al respecto es para las amenazas desconocidas, para las amenazas nuevas y emergentes, confiamos en gran medida, en gran medida, en el aprendizaje automático haciendo la clasificación de contenido o la clasificación de secuencia de comportamiento.
"Verá muchas veces en nuestros productos [que] el paciente cero es salvado por algunos de estos tipos de modelos", dijo Ganacharya. pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı