Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode

Ciberdelincuentes ocultan carga útil de ObliqueRAT en imágenes para evadir la detección

Los ciberdelincuentes ahora están implementando troyanos de acceso remoto (RAT) bajo la apariencia de imágenes aparentemente inocuas alojadas en sitios web infectados, lo que destaca una vez más cómo los actores de amenazas cambian rápidamente de táctica cuando sus métodos de ataque se descubren y se exponen públicamente.

Una nueva investigación publicada por Cisco Talos revela una nueva campaña de malware dirigida a organizaciones en el sur de Asia que utilizan documentos maliciosos de Microsoft Office falsificados con macros para difundir una RAT que se conoce con el nombre de ObliqueRAT .

Documentado por primera vez en febrero de 2020 , el malware se ha relacionado con un actor de amenazas rastreado como Transparent Tribe (también conocido como Operación C-Major, Mythic Leopard o APT36), un grupo muy prolífico supuestamente de origen paquistaní conocido por sus ataques contra activistas de derechos humanos en el país, así como el personal militar y gubernamental de la India.

Si bien el modus operandi de ObliqueRAT se superpuso anteriormente con otra campaña de Tribu Transparente en diciembre de 2019 para difundir CrimsonRAT, la nueva ola de ataques difiere de dos maneras cruciales.

Además de hacer uso de un código de macro completamente diferente para descargar e implementar la carga útil de RAT, los operadores de la campaña también han actualizado el mecanismo de entrega ocultando el malware en archivos de imagen de mapa de bits aparentemente benignos (archivos .BMP) en una red de adversarios. sitios web controlados.

“Otro ejemplo de un Maldoc utiliza una técnica similar con la diferencia de que la carga útil alojado en la página web comprometida es una imagen BMP que contiene un archivo ZIP que contiene ObliqueRAT carga útil,” Talos investigador Asheer Malhotra dijo . “Las macros maliciosas son responsables de extraer el ZIP y, posteriormente, la carga útil de ObliqueRAT en el endpoint”.

Independientemente de la cadena de infección, el objetivo es engañar a las víctimas para que abran correos electrónicos que contienen los documentos armados, que, una vez abiertos, dirigen a las víctimas a la carga útil de ObliqueRAT (versión 6.3.5 a partir de noviembre de 2020) a través de URL maliciosas y, en última instancia, exportan datos confidenciales de el sistema de destino.

Pero no es solo la cadena de distribución la que ha recibido una actualización. Se han descubierto al menos cuatro versiones diferentes de ObliqueRAT desde su descubrimiento, que Talos sospecha que son cambios probablemente realizados en respuesta a divulgaciones públicas anteriores, al tiempo que amplían sus capacidades de robo de información para incluir una captura de pantalla y funciones de grabación de cámara web y ejecutar comandos arbitrarios.

El uso de esteganografía para entregar cargas útiles maliciosas no es nuevo, al igual que el abuso de sitios web pirateados para alojar malware.

En junio de 2020, se descubrió que los grupos de Magecart ocultaban el código del skimmer web en los metadatos EXIF ​​para la imagen de favicon de un sitio web. A principios de esta semana, los investigadores de Sophos descubrieron una campaña de Gootkit que aprovecha el envenenamiento por optimización de motores de búsqueda (SEO) con la esperanza de infectar a los usuarios con malware al dirigirlos a páginas falsas en sitios web legítimos pero comprometidos.

Pero esta técnica de utilizar documentos envenenados para señalar a los usuarios el malware oculto en archivos de imagen presenta un cambio en las capacidades de infección con el objetivo de pasar sin atraer demasiado escrutinio y permanecer fuera del radar.

“Esta nueva campaña es un ejemplo típico de cómo los adversarios reaccionan a las divulgaciones de ataques y evolucionan sus cadenas de infección para evadir las detecciones”, dijeron los investigadores. “Las modificaciones en las cargas útiles de ObliqueRAT también destacan el uso de técnicas de ofuscación que se pueden utilizar para evadir los mecanismos de detección tradicionales basados ​​en firmas”.

Vía: www.thehackernews.com

Comentarios

comentarios

Dragora

Posts Relacionados

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Click to listen highlighted text!