Los delincuentes están explotando una vulnerabilidad de omisión de
autenticación (CVE-2026-35616) en FortiClient Enterprise Management Server
(EMS) para distribuir un programa de robo de credenciales no documentado
llamado EKZ.
El atacante
disfrazó el malware como una actualización para los endpoints de
Fortinet
y lo ejecutó mediante flujos de trabajo de scripts VPN gestionados por
FortiClient.
La vulnerabilidad crítica explotada es un fallo de control de acceso
inadecuado que permite a atacantes remotos no autenticados ejecutar código o
comandos arbitrarios mediante solicitudes especialmente diseñadas. A
principios de abril,
Fortinet confirmó
que estaba siendo explotado y publicó parches de emergencia para las versiones
7.4.5 y 7.4.6 del producto.
A principios de este mes, la empresa de ciberseguridad Arctic Wolf detectó
ataques que aprovechaban esta vulnerabilidad para distribuir el programa de
robo de información EKZ. Los investigadores señalan que la intrusión comienza
con el abuso de las API de los endpoints para realizar acciones
administrativas sin autenticación.
Posteriormente, el atacante modifica la configuración de EMS y las políticas
de VPN para ejecutar scripts maliciosos. Segundos después de que los
endpoints establecieran un túnel IPsec con un firewall FortiGate, el archivo
legítimo fortitray.exe ejecuta scripts maliciosos a
través del símbolo del sistema.
Estos scripts ejecutan una carga útil de PowerShell codificada en Base64 que
descarga y ejecuta malware disfrazado de parche de Fortinet, para luego
extraer datos a un VPS controlado por el atacante mediante HTTP.
.jpg)
«En lugar de utilizar un señuelo de malware genérico, la carga útil se
presentó como una actualización de Fortinet y se ejecutó mediante flujos de
trabajo de scripting VPN gestionados por FortiClient», indica el
informe de Arctic Wolf.
«En los puntos finales afectados, los componentes de FortiClient ejecutaron
scripts de comandos que invocaron PowerShell, descargaron un programa para
robar credenciales, lo ejecutaron silenciosamente y extrajeron los datos del
navegador antes de eliminar los archivos locales».
La carga útil descargada, identificada como EKZ Infostealer, presenta una
funcionalidad de robo de información bastante estándar. Ataca tanto
navegadores web basados en Chromium como Firefox y extrae los datos
almacenados en archivos de texto, eludiendo las protecciones de contraseña
cifrada.
El malware ataca credenciales, datos de tarjetas de crédito, direcciones,
números de teléfono y cookies, lo que permite acceder a cuentas protegidas por
autenticación multifactor sin iniciar sesión.
Según Arctic Wolf, un indicio de un intento de explotación en ataques que
distribuyen el infostealer EKZ es la presencia en los registros de la línea
«Certificate not found in request header». En pruebas de laboratorio,
este error fue seguido, segundos después, por otra entrada:
«Certificate user: fortinet-ca2 … successfully updated».
Por lo tanto, los investigadores recomiendan que los responsables de seguridad
busquen anomalías en la autenticación de certificados y cambios inesperados en
las configuraciones del perfil de acceso remoto.
Cualquier actividad administrativa sospechosa, como nuevas cuentas, inicios de
sesión con un origen desconocido (Tor, direcciones IP de VPS) o acciones que
provoquen cambios de configuración, debe considerarse una señal de alerta.
El informe de Arctic Wolf proporciona una guía de detección exhaustiva que
podría ayudar a las organizaciones a prevenir los ataques observados.
Fuente:
BC