HAFNIUM APT desata el malware Tarrask

Un actor de amenazas persistentes avanzadas (APT) rastreado bajo el alias HAFNIUM está operando con una nueva pieza de malware denominada Tarrask. Tarrask Malware parece ser un implante desarrollado a medida, que se distribuye a redes vulnerables mediante el uso de vulnerabilidades de día cero que aún no se han parcheado. Por supuesto, es solo cuestión de tiempo para que los proveedores afectados publiquen correcciones de seguridad críticas, lo que limitaría severamente los vectores de infección en los que pueden confiar los operadores de Tarrask Malware.

Para ganar persistencia en las máquinas infectadas, Tarrask Malware abusa del servicio del Programador de tareas de Windows. Por lo general, su propósito es permitir que los programas automaticen la ejecución de ciertas tareas y esto, coincidentemente, permite que el malware gane persistencia fácilmente. Sin embargo, Tarrask Malware puede manipular las tareas programadas de una manera más avanzada para ocultar su verdadero propósito, así como para minimizar los rastros visibles que quedan. De hecho, si Tarrask Malware se ejecuta desde una cuenta con privilegios de administrador, podría manipular el Programador de tareas de tal manera que sea imposible descubrir las tareas programadas falsas.

La forma en que Tarrask Malware logra utilizar las funciones de Windows para ocultar su presencia es fascinante y muestra que los piratas informáticos HAFNIUM conocen bien el sistema operativo Windows. Los administradores del sistema pueden garantizar la protección contra Tarrask Malware mediante el uso de soluciones antivirus acreditadas, así como al garantizar que todo el software y los servicios se parchen periódicamente, lo que minimiza las probabilidades de que se exploten las vulnerabilidades.