Una nueva campaña spear phishing dirigida a agencias gubernamentales con una versión evolucionada de malware Sanny, un antiguo ladrón de información que ahora cuenta con un proceso de infección de etapas múltiples, donde cada etapa se descarga desde el servidor del atacante, descubrieron investigadores de seguridad de la información este mes.
Las nuevas incorporaciones a Sanny, que se cree provienen de la Península Coreana, incluyen técnicas de evasión de línea de comando, la capacidad de infectar el sistema basado en Windows 10, técnicas de derivación de control de cuentas de usuario (UAC), según una publicación de blog de FireEye, cuyo los investigadores detectaron la operación.
Los atacantes han elegido el spear phishing como su vector de ataque, enviando correos electrónicos de objetivos con documentos adjuntos de Microsoft Word con temas geopolíticos. Un documento de muestra observado, escrito en ruso, abordó la geopolítica de Eurasia en relación con China, así como la seguridad de Rusia. Otro, compuesto en inglés, aborda las sanciones a las operaciones humanitarias en Corea del Norte.
Ambos documentos contienen una macro maliciosa incrustada que abusa de la utilidad legítima de Microsoft Windows certutil.exe (un programa de línea de comandos instalado como parte de los Servicios de Certificate Server) para descargar y decodificar un archivo codificado de Windows Batch (BAT) que está almacenado en una URL en la forma de un certificado SSL falso codificado en PEM. “FireEye no ha observado previamente que los autores de malware usen esta técnica en campañas pasadas”, señalan los expertos en seguridad de la información Sudeep Singh y Yijie Sui.
Sanny realmente usa una copia de la utilidad certutil.exe, guardada con un nombre diferente, ct.exe, como medida para evitar la detección por productos de seguridad que están programados para vigilar el abuso de certutil.exe.
En este punto, el archivo BAT descarga un archivo codificado de CAB (gabinete de Windows), utilizando un nombre de archivo y una técnica de instalación en particular, según las especificaciones de la máquina infectada. Además, si BAT detecta la presencia del software antivirus de Kaspersky Lab, el malware usa técnicas de omisión para evitar la detección.
En la siguiente etapa, el archivo CAB instala los componentes restantes, incluido otro archivo BAT, install.bat, que secuestra el servicio de sistema de Windows COMSysApp (Aplicación de sistema COM +) para entregar la carga útil final de Sanny, que está diseñada para filtrar información a un comando y control del servidor utilizando el protocolo FTP. El archivo install.bat también ejecuta un archivo de configuración y dos archivos DLL que realizan una omisión de UAC en Windows 7 y Windows 10, respectivamente.
“Esta actividad nos muestra que los agentes de amenaza que utilizan el malware Sanny están desarrollando sus métodos de entrega de malware, especialmente mediante la incorporación de bypass de UAC y técnicas de evasión de endpoints”, concluyen los expertos en seguridad de la información. “Al utilizar un ataque de varias etapas con una arquitectura modular, los autores de malware aumentan la dificultad de la ingeniería inversa y pueden evadir las soluciones de seguridad”.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad