POSHC2
Los expertos en ciberseguridad han estado utilizando una herramienta llamada POSHC2 para asegurarse de que las redes que administran estén a salvo de los ciberataques. POSHC2 es un marco de explotación que ayuda a los evaluadores de penetración en particular. Sin embargo, el marco POSHC2 es una herramienta gratuita, y todo su código fuente está disponible para cualquiera que esté interesado libremente. Naturalmente, esto ha atraído la atención de los delincuentes cibernéticos que han alterado ligeramente el código del marco y lograron convertirlo en una herramienta de piratería totalmente armada. Estas variantes amenazantes del marco POSHC2 se pueden utilizar para apuntar a empresas e individuos por igual.
Operaciones dirigidas a las principales industrias
Entre los estafadores que se están aprovechando del marco armado POSHC2 se encuentra el grupo APT33 (Amenaza persistente avanzada). También son conocidos bajo el alias Elfin Team. Se sabe que este grupo de piratas está ubicado en Irán, y han lanzado campañas dirigidas a empresas e instituciones en los Estados Unidos, Corea del Sur y Arabia Saudita. Al parecer, el APT33 adquirió un gusto por el marco POSHC2, ya que lo habían estado utilizando en numerosas campañas en 2018. Dos de sus objetivos eran las industrias de aviación e ingeniería. El grupo de piratería ha establecido un temporizador que terminaría la actividad de la variante armada del marco POSHC2 el 29 de julio de 2018. No muchos estafadores toman esta medida, pero algunos prefieren estar seguros y dejar menos huellas para la seguridad cibernética. expertos
Funciona como un troyano de puerta trasera
El marco POSHC2 se ha convertido en lo que es esencialmente un troyano de puerta trasera. Esto significa que esta amenaza casi puede funcionar como un troyano de puerta trasera normal. Una vez que compromete un objetivo, la puerta trasera POSHC2 comenzará a recopilar información sobre el hardware del sistema, el software, el nombre de usuario, el nombre de la PC y la identificación del proceso de la amenaza. Toda la información recopilada será luego filtrada al servidor C&C (Comando y Control) de los operadores de la puerta trasera POSHC2. La puerta trasera POSHC2 puede recibir comandos remotos del servidor C&C. Con la ayuda del servidor C&C, la puerta trasera POSHC2 también es capaz de descargar y ejecutar malware adicional en la máquina comprometida. Además, esta iteración del marco POSHC2 también puede ejecutar comandos de PowerShell.
No es raro que los delincuentes cibernéticos secuestran una aplicación legítima y la utilizan como arma. Las empresas deben tomar su ciberseguridad más en serio.
