Investigadores de ciberseguridad revelaron el jueves detalles de una puerta trasera de Windows en memoria no descubierta previamente desarrollada por una operación de piratas informáticos a sueldo que puede ejecutar código malicioso de forma remota y robar información confidencial de sus objetivos en Asia, Europa y EE. UU.
Apodado » PowerPepper » por los investigadores de Kaspersky, el malware se ha atribuido al grupo DeathStalker (anteriormente llamado Deceptikons), un actor de amenazas que se ha encontrado que afecta a bufetes de abogados y empresas del sector financiero ubicados en Europa y Oriente Medio al menos desde entonces. 2012.
La herramienta de piratería se llama así debido a su dependencia de los trucos esteganográficos para entregar la carga útil de la puerta trasera en forma de una imagen de helechos o pimientos.
El grupo de espionaje salió a la luz por primera vez a principios de julio , y la mayoría de sus ataques comenzaron con un correo electrónico de phishing que contenía un archivo LNK modificado malicioso (acceso directo) que, al hacer clic, descarga y ejecuta un implante basado en PowerShell llamado Powersing.
Si bien sus objetivos no parecen estar motivados económicamente, su continuo interés en recopilar información comercial crucial llevó a Kaspersky a la conclusión de que «DeathStalker es un grupo de mercenarios que ofrecen servicios de piratería informática a sueldo o que actúan como una especie de intermediario de información en círculos financieros «.
PowerPepper ahora se une a la lista del grupo de conjuntos de herramientas en expansión y evolución.
Descubierta en estado salvaje a mediados de julio de 2020, esta nueva cepa de malware se elimina de un documento de Word señuelo y aprovecha DNS sobre HTTPS (DoH) como un canal de comunicación para transmitir comandos de shell maliciosos cifrados desde un servidor controlado por un atacante.
Los correos electrónicos de spear-phishing vienen con temas tan variados como regulaciones de emisión de carbono, reserva de viajes y la pandemia de coronavirus en curso, y los documentos de Word tienen pancartas de ingeniería social que instan a los usuarios a habilitar macros en un intento por atraer a un usuario desprevenido para que descargue la puerta trasera.
Para lograr sus objetivos, el implante envía solicitudes de DNS a servidores de nombres (servidores que almacenan los registros de DNS) asociados con un dominio C2 malicioso, que luego devuelve el comando para que se ejecute en forma de respuesta incorporada. Tras la ejecución, los resultados se transmiten al servidor a través de un lote de solicitudes de DNS.
Además de aprovechar las cadenas de distribución basadas en macros y LNK para implementar el malware, DeathStalker empleó «trucos de ofuscación, ejecución y enmascaramiento para dificultar la detección o engañar a los objetivos que sienten curiosidad por lo que está sucediendo en sus computadoras», señaló Pierre Delcher de Kaspersky.
Entre ellas, las principales son las capacidades para ocultar el flujo de trabajo de ejecución maliciosa en las propiedades de objetos y formas incrustadas de Word y utilizar archivos de Ayuda HTML compilada (CHM) de Windows como archivos para archivos maliciosos.
Se han visto múltiples grupos mercenarios en la naturaleza antes, incluidos BellTroX (también conocido como Dark Basin), Bahamut y CostaRicto , todos los cuales han implementado malware personalizado para violar sistemas que pertenecen a instituciones financieras y funcionarios gubernamentales.
«Parece justo escribir que DeathStalker se esforzó por desarrollar herramientas evasivas, creativas e intrincadas con este implante PowerPepper y las cadenas de suministro asociadas», concluyó Delcher.
«No hay nada particularmente sofisticado en las técnicas y trucos que se aprovechan, sin embargo, todo el conjunto de herramientas ha demostrado ser eficaz, está bastante bien elaborado y muestra esfuerzos decididos para comprometer varios objetivos en todo el mundo».
Para protegerse contra la entrega y ejecución de PowerPepper, se recomienda que las empresas y los usuarios actualicen sus backends de CMS, así como los complementos asociados, restrinjan el uso de PowerShell en computadoras de usuarios finales con políticas de ejecución impuestas y se abstengan de abrir accesos directos de Windows adjuntos a correos electrónicos o hacer clic en enlaces en correos electrónicos de remitentes desconocidos.
Fuente: https://thehackernews.com/2020/12/hackers-for-hire-group-develops-new.html
