Los investigadores de ciberseguridad han revelado detalles de una campaña de malware evasiva que hace uso de certificados de firma de código válidos para escabullirse de las defensas de seguridad y permanecer bajo el radar con el objetivo de implementar cargas útiles de Cobalt Strike y BitRAT en sistemas comprometidos.
El binario, un cargador, ha sido apodado «Blister» por los investigadores de Elastic Security, y las muestras de malware tienen detecciones insignificantes o nulas en VirusTotal. En el momento de redactar este documento, se desconoce el vector de infección utilizado para organizar el ataque, así como los objetivos finales de la intrusión.
Un aspecto notable de los ataques es que aprovechan un certificado de firma de código válido emitido por Sectigo . Se ha observado que el malware está firmado con el certificado en cuestión que data del 15 de septiembre de 2021. Elastic dijo que se comunicó con la compañía para asegurarse de que los certificados abusados sean revocados.
«Los ejecutables con certificados de firma de código válidos a menudo se analizan en menor grado que los ejecutables sin firmar», dijeron los investigadores Joe Desimone y Samir Bousseaden . «Su uso permite a los atacantes permanecer fuera del radar y evadir la detección durante un período de tiempo más largo».
Blister se hace pasar por una biblioteca legítima llamada » colorui.dll » y se entrega a través de un cuentagotas llamado » dxpo8umrzrr1w6gm.exe «. Después de la ejecución, el cargador está diseñado para dormir durante 10 minutos, probablemente en un intento de evadir el análisis de la caja de arena, solo para seguirlo estableciendo persistencia y descifrando una carga útil de malware incrustado como Cobalt Strike o BitRAT .
«Una vez descifrada, la carga útil incrustada se carga en el proceso actual o se inyecta en un proceso WerFault.exe [Informe de errores de Windows] recién generado», señalaron los investigadores. Aquí se puede acceder a los indicadores de compromiso (IoC) adicionales asociados con la campaña.
Fuente: https://thehackernews.com/2021/12/new-blister-malware-using-code-signing.html
