Nuevo malware sin archivos oculta Shellcode en los registros de eventos de Windows
Es notable el uso de envoltorios antidetección como parte del conjunto de herramientas
Se ha detectado por primera vez en ataques del mundo real una nueva campaña maliciosa que se aprovecha de los registros de eventos de Windows para ocultar fragmentos de shellcode.
"Permite que el troyano de última etapa 'sin archivos' se oculte a simple vista en el sistema de archivos", dijo el investigador de Kaspersky Denis Legezo en un artículo técnico publicado esta semana.
Se cree que el proceso de infección sigilosa, que no se atribuye a un actor conocido, comenzó en septiembre de 2021 cuando se atrajo a los objetivos previstos para que descargaran archivos .RAR comprimidos que contenían Cobalt Strike y Silent Break.
Los módulos de software de simulación del adversario se utilizan luego como una plataforma de lanzamiento para inyectar código en los procesos del sistema de Windows o en las aplicaciones confiables.
También es notable el uso de envoltorios antidetección como parte del conjunto de herramientas, lo que sugiere un intento por parte de los operadores de volar por debajo del radar.
Uno de los métodos clave es mantener el shellcode encriptado que contiene el malware de próxima etapa como piezas de 8 KB en los registros de eventos, una técnica nunca antes vista en los ataques del mundo real, que luego se combina y ejecuta.
La carga útil final es un conjunto de troyanos que emplean dos diferentes mecanismos de comunicación: HTTP con cifrado RC4 y sin cifrar con tuberías con nombre, que le permiten ejecutar comandos arbitrarios, descargar archivos desde una URL, escalar privilegios y tomar capturas de pantalla.
Otro indicador de las tácticas de evasión del actor de amenazas es el uso de la información recopilada del reconocimiento inicial para desarrollar etapas sucesivas de la cadena de ataque, incluido el uso de un servidor remoto que imita el software legítimo utilizado por la víctima.
"El actor detrás de esta campaña es bastante capaz", dijo Legezo. "El código es bastante único, sin similitudes con un malware conocido".
La divulgación se produce cuando los investigadores de Sysdig demostraron una forma de comprometer los contenedores de solo lectura con malware sin archivos que se ejecuta en la memoria aprovechando una falla crítica en los servidores Redis.
