Los atacantes continúan explotando fallas de seguridad críticas parcheadas que afectan las implementaciones de FortiClient Endpoint Management Server (EMS) para distribuir malware de robo de credenciales.
«Esta campaña aprovechó la infraestructura confiable de administración de puntos finales para distribuir malware entre puntos finales administrados», dijo Arctic Wolf. «Los actores de amenazas disfrazaron la carga útil de robo de credenciales como una actualización del endpoint de Fortinet y ejecutaron silenciosamente el ejecutable malicioso a través de PowerShell».
Esta actividad, observada por una empresa de ciberseguridad en mayo de 2026, implicó la explotación de CVE-2026-35616 (puntuación CVSS: 9,1), una omisión crítica de acceso a la API de autenticación previa que conduce a una escalada de privilegios. FortiNet resolvió este problema en FortiClient EMS 7.4.7 y versiones posteriores.
Un compromiso exitoso permite al atacante modificar las configuraciones para diferir las notificaciones de actualización de firmware o modificar las configuraciones del perfil de acceso remoto y las políticas de los terminales para inyectar scripts maliciosos que se ejecutarán en los dispositivos terminales.
«Los patrones de ejecución observados sugieren que el atacante estaba utilizando los propios canales de administración de FortiClient para enviar comandos maliciosos de PowerShell a los puntos finales administrados de una manera que se asemeja a operaciones de administración legítimas», dijo Arctic Wolf.
«Una vez que el atacante obtuvo una ruta para modificar la configuración de administración de EMS, todos los puntos finales administrados se convirtieron en objetivos potenciales de ejecución sin requerir una ruta de compromiso separada para cada dispositivo».
Además, se descubrió que este ataque explota un archivo ejecutable legítimo asociado con FortiClient, ‘fortitray.exe’, y utiliza ‘cmd.exe’ para iniciar un archivo de script .cmd. Los scripts .cmd están diseñados para llamar a scripts de PowerShell codificados en Base64. El script descarga una carga maliciosa, la ejecuta y extrae los resultados mediante una solicitud HTTP POST a «83.138.53(.)110».
El ejecutable llamado «FortiEndpoint_Patch.exe» se disfraza de actualización, pero en realidad es un ladrón de información de Windows no reportado anteriormente que puede recopilar datos confidenciales de navegadores basados en Chromium y Gecko, incluidas contraseñas, cookies, información de tarjetas de crédito y detalles de autocompletar, como direcciones y números de teléfono.
Los datos se escriben en un archivo de registro y se guardan en el directorio ProgramData. Vale la pena señalar que el ladrón no tiene capacidades de robo basadas en la red. Es un script de PowerShell que envía los datos capturados a una infraestructura controlada por el atacante.
«Al evitar la autenticación API e interactuar con la funcionalidad EMS en un contexto privilegiado, los atacantes pudieron modificar las configuraciones de administración y ejecutar scripts maliciosos en los puntos finales administrados», dijo Arctic Wolf.
«Las cookies de sesión y las credenciales almacenadas del navegador pueden proporcionar a un atacante acceso posterior a servicios en la nube, aplicaciones internas y otros recursos autenticados, incluso cuando la reutilización de la sesión pasa por alto las indicaciones de MFA».
Source link
