El equipo de investigadores de Cyble ha publicado una investigación en la que han identificado a actores maliciosos utilizando VS Code para obtener acceso no autorizado en las redes de sus víctimas. Las operaciones comienzan con la distribución de un archivo .lnk que posiblemente es remitido, de forma adjunta, mediante mensajes de phishing. Una vez se ejecuta por parte de la víctima, dicho archivo descarga un paquete de Python que se utiliza para ejecutar un script que elude soluciones de seguridad y sirve para establecer persistencia.
Posteriormente, se crea un túnel remoto utilizando VS Code y envía un código de activación al actor para facilitar el acceso remoto no autorizado en el equipo. En último lugar, cabe indicar que esta metodología de ataque ha sido observada utilizada por parte de la APT china Stately Taurus, también conocida como Mustang Panda.
Tomado del Boletín de Noticias de Ciberseguridad – Global – 28-09-2024
2024 © Telefónica Cyber Security & Cloud Tech S.L.U. Todos los derechos reservados.
0 comentarios