Malware Serpiente ataca entidades francesas con método sorprendente

Una nueva puerta trasera, apodada Serpent, ha sido encontrada en Internet, infectando entidades francesas en los sectores de la construcción y el gobierno. La puerta trasera se instala a través de formas innovadoras, que incluyen esteganografía, un proxy Tor y software legítimo de instalación de paquetes.

VER: Violación de contraseñas: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (Newsmatic)

La nueva puerta trasera ha sido encontrada y expuesta por Proofpoint en una publicación lanzada hoy.

Índice de Contenido
  1. Cómo la puerta trasera Serpent compromete inicialmente
  2. Una cadena de infección larga e invisible
  3. La puerta trasera Serpent
  4. Más herramientas del actor de amenazas
  5. Un actor de amenazas único
  6. Cómo protegerse de esta amenaza

Cómo la puerta trasera Serpent compromete inicialmente

Como suele ocurrir en los ataques dirigidos, todo comienza con un correo electrónico. En este caso, como expuso Proofpoint, contiene un documento de Microsoft Word infectante, escrito en francés (Figura A).

Figura A

El documento engaña al usuario para que habilite las macros y pueda leer el documento, lo cual es una táctica muy común para que los atacantes inicien una infección en un equipo específico.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El asunto del correo electrónico, "Candidature" seguido de un nombre y apellido, es la palabra en francés usualmente utilizada para "solicitud de trabajo" y es otro engaño común utilizado por los atacantes para incitar a un usuario a abrir un documento malicioso.

Una cadena de infección larga e invisible

Una vez que se habilita la macro, se descarga una imagen desde un sitio web comprometido. Esa imagen contiene un script de PowerShell codificado, oculto utilizando esteganografía (ocultar un mensaje dentro de otro mensaje).

Ese script de PowerShell descarga, instala y actualiza un paquete de instalación conocido como Chocolatey. Chocolatey es una herramienta de automatización de gestión de software para sistemas Windows. Envuelve instaladores, archivos exe, archivos y scripts, todo en un paquete compilado. Proofpoint informa que hasta donde tiene conocimiento, esta es la primera vez que esta herramienta se ha utilizado de forma maliciosa en una campaña de ataque.

Una vez finalizado, Chocolatey instala el lenguaje de programación Python, incluyendo pip, el instalador de paquetes de Python.

El siguiente paso consiste en instalar varias dependencias, incluyendo PySocks, una herramienta de Python que permite a los usuarios enviar tráfico a través de servidores proxy Socks y HTTP.

Se descarga otra imagen desde el mismo sitio web que la primera imagen, que nuevamente utiliza esteganografía, esta vez para almacenar un script de Python codificado y guardado en el equipo como MicrosoftSecurityUpdate.py (Figura B).

Cómo proteger tu computadora de los virus: métodos y consejos

Figura B

La cadena de infección se detiene con un comando a un acortador de URLs que redirige al usuario al sitio web legítimo de ayuda de Microsoft Office.

Todos estos pasos complican mucho el análisis del ataque (Figura C).

Figura C

La puerta trasera Serpent

La puerta trasera Serpent es un script de Python que funciona de la siguiente manera:

  • Regularmente envía un ping a un servidor en la red Tor a través de una URL .onion.pet y espera una respuesta específica: <entero aleatorio>–<nombre de host>–<comando>.
  • Verifica si el nombre de host coincide con la computadora infectada y, si es así, ejecuta los comandos proporcionados por el servidor. Esos comandos pueden ser cualquier comando de Windows diseñado por el atacante.
  • Se registra la salida del comando.
  • Utiliza PySocks para conectarse a la herramienta de línea de comandos Termbin, que permite a los usuarios pegar la salida en un bin y recibir la URL única del bin de vuelta.
  • Una vez hecho esto, la puerta trasera envía una solicitud a un segundo servidor, también utilizando la red Tor. La solicitud incluye la URL del bin y el nombre de host. Esto permite que el atacante obtenga las respuestas de la puerta trasera.
  • El ciclo continúa indefinidamente.

Más herramientas del actor de amenazas

Además de la puerta trasera Serpent, Proofpoint descubrió cargas adicionales que se sirven desde el mismo host. Una de ellas es particularmente interesante, ya que utiliza lo que Proofpoint cree que es una "aplicación nueva de ejecución de proxy binario firmado utilizando schtasks.exe", en un intento de evitar las detecciones. El comando se encuentra nuevamente en una imagen que utiliza esteganografía. Utiliza schtasks.exe para crear una tarea única que llame a un ejecutable portátil. El desencadenante de esta tarea depende de la creación de un evento de Windows con un EventID de 777. Luego, el comando crea un evento ficticio para activar la tarea y elimina la tarea del programador de tareas. Esta aplicación peculiar de la lógica de tareas hace que el ejecutable portátil se ejecute como un proceso secundario de taskhostsw.exe, que es un binario de Windows firmado.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Un actor de amenazas único

La instalación de herramientas como Chocolatey y Python puede ayudar en gran medida a que el ataque pase desapercibido, ya que estas herramientas son legítimas y es poco probable que generen alguna alerta.

Además, Proofpoint rara vez observa esteganografía en las campañas. La última herramienta encontrada que utiliza schtasks.exe también es única y no se había observado antes.

Además, el modo en que se utiliza la red Tor es inusual y dificulta la detención de la amenaza, ya que la ubicación del servidor final es desconocida y no se puede simplemente apagar.

El objetivo final de este actor de amenazas es desconocido. Un equipo infectado podría conducir a robo de datos, instalación y ejecución de cargas adicionales o control del host infectado.

Cómo protegerse de esta amenaza

Proofpoint proporciona varios indicadores de compromiso (IOCs) que se deben utilizar para mejorar la detección y evitar caer en esta amenaza.

En particular, se deben bloquear las conexiones de red relacionadas con esta amenaza.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Malware Serpiente ataca entidades francesas con método sorprendente , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.