Microsoft advierte a los usuarios de los nuevos tipos de software malicioso que han detectado. La han encontrado y lo han bautizado como FoggyWear. De hecho, es muy incierto cuando y donde nuestro dispositivo será atacado por software malicioso.
El malware es peligroso como todos los demás. Esta está siendo utilizada por los piratas informáticos para robar la información del administrador de la cuenta del usuario. Las credenciales de administrador son personales e importantes. Acceder a esta información hace que sea muy arriesgado.
Microsoft también ha inventado un nombre para el grupo atacante. La empresa le llama Nobelium. Utilizan este software malicioso para piratear la cuenta de administración de los servidores Active Directory Federation Services (AD FS) y controlar el acceso de los usuarios a diversos recursos.
Microsoft también ha seguido adelante y ha afirmado que están bastante seguros de que se trata del mismo grupo de piratas informáticos que fue responsable del ataque de la cadena de suministro de software Solar Winds que tuvo lugar el año pasado en diciembre. El malware es como una puerta para los piratas informáticos. También puede decir que es como una puerta trasera para que, mediante el uso de este software malicioso, los piratas informáticos pueden llegar a robar fichas y certificados del programa de identidad de Microsoft.
El conjunto actual de piratas informáticos utiliza este software malicioso, pero, incluido esto, también utilizan un montón de otras tácticas necesarias para sacar la información personal de los servidores. Están orientados a servidores y están siendo muy inteligentes al respecto.
No sólo se orientan a ningún servidor sin rima ni motivo. Están atacando los servidores particulares que se ven debilitados y luego tienen un sistema de seguridad comprometido. Es entonces cuando lo están incumpliendo completamente con el software malicioso.
Ramin Nafisi, que también se sabe que es el Microsoft Threat Intelligence Center, dice: «Nobelium es muy peligroso, ya que utiliza FoggyWeb por exfiltrar de forma remota la base de datos de configuración, y después utilizan sus conocimientos para descifrar el certificado de firma de token y el token- certificado de descifrado. También participan para descargar y ejecutar componentes adicionales «.
«FoggyWeb es una puerta trasera muy pasiva y muy orientada que actúa como software malicioso. Es muy peligroso y es capaz de exfiltrar remotamente información sensible de un servidor AD FS muy débil y de un servidor muy comprometido. Tampoco se detiene aquí, ya que también tiene la capacidad de recibir componentes maliciosos adicionales de un servidor de pedidos y control (C2) «, dice Microsoft.