El grupo Hackers-For-Hire desarrolla el nuevo malware en memoria ‘PowerPepper’

Investigadores de seguridad cibernética revelaron el jueves detalles de una puerta trasera de Windows en memoria no descubierta anteriormente desarrollada por una operación de piratas informáticos a sueldo que puede ejecutar código malicioso de forma remota y robar información confidencial de sus objetivos en Asia, Europa y los EE. UU.

Apodado «PowerPepper» por los investigadores de Kaspersky, el malware se ha atribuido al grupo DeathStalker (anteriormente llamado Deceptikons), un actor de amenazas que se ha descubierto que afecta a firmas de abogados y empresas del sector financiero ubicadas en Europa y Oriente Medio al menos desde 2012

La herramienta de piratería se llama así por su dependencia de los trucos esteganográficos para entregar la carga útil de la puerta trasera en forma de una imagen de helechos o pimientos.

El grupo de espionaje salió a la luz por primera vez a principios de julio, y la mayoría de sus ataques comenzaron con un correo electrónico de phishing selectivo que contenía un archivo LNK (acceso directo) modificado malicioso que, cuando se hace clic, descarga y ejecuta un implante basado en PowerShell llamado Powersing.

Si bien sus objetivos no parecen estar motivados financieramente, su continuo interés en recopilar información comercial crucial llevó a Kaspersky a la conclusión de que «DeathStalker es un grupo de mercenarios que ofrecen servicios de piratería informática o actúan como una especie de corredor de información en círculos financieros».

PowerPepper ahora se une a la lista del grupo de conjuntos de herramientas en expansión y evolución.

Descubierto en la naturaleza a mediados de julio de 2020, esta nueva variedad de malware se elimina de un documento de Word señuelo y aprovecha el DNS sobre HTTPS (DoH) como canal de comunicación para transmitir comandos de shell maliciosos cifrados desde un servidor controlado por un atacante.

Los correos electrónicos de spear-phishing vienen con temas tan variados como las regulaciones de emisión de carbono, la reserva de viajes y la pandemia de coronavirus en curso, y los documentos de Word tienen pancartas de ingeniería social que instan a los usuarios a habilitar macros en un intento por atraer a un usuario desprevenido para que descargue la puerta trasera.

Ataque de malware

Para lograr sus objetivos, el implante envía solicitudes de DNS a servidores de nombres (servidores que almacenan los registros de DNS) asociados con un dominio C2 malicioso, que luego envía el comando para que se ejecute en forma de respuesta incrustada. Tras la ejecución, los resultados se transmiten al servidor a través de un lote de solicitudes de DNS.

Además de aprovechar las cadenas de entrega basadas en macros y LNK para implementar el malware, DeathStalker empleó «trucos de ofuscación, ejecución y enmascaramiento para dificultar la detección o engañar a los objetivos que sienten curiosidad por lo que sucede en sus computadoras», señaló Pierre Delcher de Kaspersky.

La principal de ellas son las capacidades para ocultar el flujo de trabajo de ejecución malicioso en las propiedades de objetos y formas incrustadas de Word y usar archivos de Ayuda HTML compilada (CHM) de Windows como archivos para archivos maliciosos.

Múltiples grupos de mercenarios se han visto antes, incluidos BellTroX (también conocido como Dark Basin), Bahamut y CostaRicto, todos los cuales han implementado malware personalizado para violar los sistemas que pertenecen a instituciones financieras y funcionarios gubernamentales.

«Parece justo escribir que DeathStalker se esforzó por desarrollar herramientas evasivas, creativas e intrincadas con este implante PowerPepper y las cadenas de entrega asociadas», concluyó Delcher.

«No hay nada particularmente sofisticado en las técnicas y trucos que se aprovechan, sin embargo, todo el conjunto de herramientas ha demostrado ser efectivo, está bastante bien organizado y muestra esfuerzos decididos para comprometer varios objetivos en todo el mundo».

Para protegerse contra la entrega y ejecución de PowerPepper, se recomienda que las empresas y los usuarios actualicen sus backends de CMS, así como los complementos asociados, restrinjan el uso de PowerShell en las computadoras de los usuarios finales con políticas de ejecución forzadas y se abstengan de abrir accesos directos de Windows adjuntos a correos electrónicos o hacer clic en enlaces en correos electrónicos de remitentes desconocidos.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática