Hackers utilizan Microsoft Build Engine para distribuir Malware

Microsoft Build Engine es una popular plataforma para compilar aplicaciones para sistemas operativos Windows. Este motor, que también se conoce como MSBuild, proporciona un esquema XML para un archivo del proyecto que controla cómo la plataforma de compilación procesa y compila el software.

Se ha descubierto que los hackers están utilizando Microsoft Build Engine para distribuir archivos troyanos de acceso remoto y malware que roba contraseñas en sistemas operativos Windows.

Según las investigaciones de la agencia de ciberseguridad Anomali, estas actividades han sido descubiertas el mes pasado y se teme que aumenten los ataques en las próximas semanas. Los hackers están añadiendo archivos de compilación maliciosos junto con ejecutables codificados y shellcode para implementar puertas traseras, lo que permite a los adversarios tomar el control de las máquinas de las víctimas y robar información sensible.

Al usar MSBuild para comprometer sin archivos una máquina, la idea es permanecer fuera del radar y frustrar la detección, ya que dicho malware hace uso de una aplicación legítima para cargar el código de ataque en la memoria, sin dejar rastros de infección en el sistema y dando a los atacantes un alto nivel de sigilo.

En el momento de escribir este post, solo dos proveedores de seguridad marcan uno de los archivos .proj de MSBuild ("vwnfmo.lnk") como malicioso, mientras que una segunda muestra ("72214c84e2.proj") cargada en VirusTotal el 18 de abril permanece sin ser detectada por ningún anti-malware. Se ha detectado que la mayoría de las muestras analizadas cargaban Remcos RAT, y algunas otras también entregaban Quasar RAT y RedLine Stealer.

Remcos (también conocido como software de control remoto y vigilancia), una vez instalado, otorga acceso completo al equipo remoto, sus características van desde capturar pulsaciones de teclas hasta ejecutar comandos arbitrarios, grabar micrófonos y cámaras web. Quasar es un RAT de código abierto basado en .NET. diseñado específicamente para el robo de contraseñas. Redline Stealer, como su nombre indica, es un malware básico que recopila credenciales de navegadores, VPN y clientes de mensajería, además de robar contraseñas y billeteras asociadas con aplicaciones de criptomonedas.

Mientras las utilidades de protección actualizan sus definiciones de software malicioso, es muy recomendable contar con un buen sistema de copias de seguridad cifradas y también con gestores de contraseñas con un alto grado de encriptación.