Ciberespionaje: Fileless Malware DownEX descubierto

Los expertos de Bitdefender Labs han descubierto una nueva familia de malware. El ataque sofisticado y muy específico llamado DownEx actualmente todavía está dirigido a agencias gubernamentales en Asia Central. Las empresas que operan en estas regiones también pueden convertirse en víctimas.

El objetivo principal de los atacantes es el espionaje y la exfiltración de información. El código malicioso del ataque sin archivos se ejecuta en gran medida solo en la memoria principal y, por lo tanto, es difícil de detectar. Mediante el análisis del script de Python y la ingeniería inversa de la comunicación con el servidor de comando y control (C2C), los expertos pudieron identificar cuatro funciones principales del malware: Permite a los piratas informáticos escanear específicamente archivos, exfiltrarlos, eliminar o tomar capturas de pantalla del contenido de la pantalla de los sistemas afectados.

Espionaje: En busca de datos confidenciales

Los autores de la campaña están especialmente interesados ​​en los datos confidenciales, como los que tienen la extensión .pgp (Pretty Good Privacy) o .pem (Privacy Enhanced Mail). Los piratas informáticos también buscan datos financieros, como archivos de registro de QuickBooks (extensión .tlg).

El dominio y las direcciones IP asociadas a la campaña son nuevos. El código malicioso no muestra similitudes con el malware conocido anteriormente. Bitdefender Labs fue el primero en detectar la nueva campaña de malware y la llamó DownEx.

Ataques dirigidos a empresas

Los piratas informáticos apuntan específicamente a víctimas seleccionadas. El vector de ataque original no está claro, pero el spear phishing y la ingeniería social probablemente estén al comienzo de cada ataque. Para mostrar la carga útil, los ciberdelincuentes utilizan un ícono clásico y simple con un archivo .docx que disfraza un archivo ejecutable como una carga útil maliciosa. La segunda carga útil es un archivo .hta (pero sin esta extensión de archivo) con un código VBScript malicioso incrustado que conecta el sistema comprometido con el servidor C2C. Un archivo .hta (aplicación HTML) contiene código VBScript, HTML, CSS o JavaScript que se ejecuta como una aplicación independiente en entornos de sistema operativo Windows. La comunicación posterior entre el servidor y el sistema de la víctima, que es difícil de detectar, se ejecuta a través de la puerta trasera help.py basada en Python.

antecedentes rusos? – Estado de antecedentes!

Los indicadores y técnicas utilizados pueden señalar un origen ruso de los actores. Sin embargo, no se pueden hacer declaraciones definitivas al respecto. Los metadatos del documento utilizado con la identidad dada de un diplomático podrían ser una indicación.

 

Asimismo, el malware utiliza una versión crackeada de Microsoft 2016, que se distribuye principalmente en países de habla rusa ("SPecialisST RePack" o "Russian RePack by SPecialiST"). La puerta trasera también está escrita en dos idiomas. Esta práctica es conocida por el grupo APT28 con sede en Rusia y su puerta trasera Zebrocy. Sin embargo, estas indicaciones no son suficientes. El trasfondo estatal del ataque altamente dirigido es obvio. Los metadatos del documento de Word indican que un diplomático real es el supuesto remitente.

Más en Bitdefender.com

 

---

Acerca de Bitdefender

Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de

---

 

Artículos relacionados con el tema