Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Descubren Malware Políglota dirigido a sectores críticos en EAU
Noticias

Descubren Malware Políglota dirigido a sectores críticos en EAU

por Dragora
Escrito por Dragora

Un malware políglota no documentado previamente está siendo utilizado en ataques dirigidos a organizaciones de aviación, comunicación por satélite y transporte crítico en los Emiratos Árabes Unidos (EAU). La amenaza, denominada Sosano, opera como una puerta trasera que permite a los atacantes ejecutar comandos de forma remota y establecer persistencia en los dispositivos comprometidos.

La firma de ciberseguridad Proofpoint descubrió la actividad en octubre de 2024, atribuyéndola a un actor de amenazas conocido como ‘UNK_CraftyCamel’. A pesar de que la campaña es relativamente pequeña, los investigadores advierten que es avanzada y representa un alto riesgo para las empresas objetivo. Además, han identificado similitudes con operaciones de los grupos alineados con Irán TA451 y TA455, aunque con un fuerte enfoque en el ciberespionaje.

Malware Políglota: Un Nuevo Desafío en Ciberseguridad

El malware políglota se basa en archivos diseñados con múltiples formatos simultáneos, lo que permite que distintas aplicaciones los interpreten de diferentes maneras. Por ejemplo, un archivo podría estructurarse como MSI (instalador de Windows) y JAR (archivo de Java) al mismo tiempo. Esto significa que Windows podría reconocerlo como un MSI, mientras que el entorno de ejecución de Java lo trataría como un JAR.

Esta técnica permite a los atacantes evadir los sistemas de seguridad tradicionales, que suelen analizar los archivos en función de un único formato.

Vector de Ataque: Spear-Phishing y Archivos Políglotas

La campaña de ataque descubierta por Proofpoint inicia con un correo electrónico de spear-phishing altamente dirigido, enviado desde una empresa india de electrónica comprometida (INDIC Electronics). Los correos incluyen enlaces maliciosos que redirigen a las víctimas a un dominio falsificado (indicelectronics[.]net) para descargar un archivo ZIP llamado «OrderList.zip».

Este ZIP contiene:

  • Un archivo LNK (acceso directo de Windows) disfrazado como archivo XLS.
  • Dos archivos PDF políglotas («about-indic.pdf» y «electronica-2024.pdf»).

Estos PDFs, aunque parecen documentos legítimos, contienen estructuras ocultas maliciosas:

  • about-indic.pdf: Incluye código HTA (HTML Application).
  • electronica-2024.pdf: Contiene un archivo ZIP malicioso incrustado.

Proceso de Infección: Desde el Engaño Hasta la Persistencia

  1. Ejecución del Archivo LNK: Al abrirlo, cmd.exe inicia mshta.exe, que ejecuta el código HTA oculto dentro del primer PDF.
  2. Activación del Segundo PDF: Este desencadena la ejecución del archivo ZIP oculto, que extrae un archivo URL en el Registro de Windows para establecer persistencia.
  3. Despliegue de Sosano:
    • Se descarga y ejecuta un archivo JPEG codificado en XOR, que decodifica una carga útil DLL («yourdllfinal.dll»).
    • Esta DLL es la puerta trasera Sosano, una carga útil basada en Go, diseñada para operaciones de ciberespionaje.
Visión general de la cadena de infección
Visión general de la cadena
de infección Fuente: Proofpoint

Características de la Puerta Trasera Sosano

Sosano es una carga útil de 12 MB, inflada intencionalmente para ocultar la pequeña cantidad de código malicioso que contiene. Una vez activada, se conecta con su servidor de comando y control (C2) en «bokhoreshonline[.]com» y espera instrucciones de los atacantes.

Funciones principales de Sosano:

  • Ejecutar comandos de shell en los dispositivos infectados.
  • Manipular archivos en el sistema comprometido.
  • Descargar y lanzar cargas maliciosas adicionales.

Cómo Defenderse de las Amenazas Políglotas

La detección y mitigación de ataques basados en malware políglota requieren un enfoque de seguridad en varias capas. Algunas medidas clave incluyen:

  1. Escaneo avanzado de correos electrónicos: Utilizar herramientas de seguridad capaces de detectar formatos de archivo combinados.
  2. Educación del usuario: Capacitar al personal para identificar correos sospechosos y evitar descargar archivos de fuentes desconocidas.
  3. Restricción de archivos peligrosos: Bloquear tipos de archivo como LNK, HTA y ZIP en las puertas de enlace de correo electrónico si no son necesarios en las operaciones diarias.
  4. Análisis de comportamiento: Implementar soluciones que monitoreen actividades sospechosas en tiempo real.

La aparición de Sosano y su uso de malware políglota resalta el avance de las técnicas de ciberataque y la necesidad de estrategias de defensa más sofisticadas. Este tipo de amenazas, al combinar múltiples formatos de archivo, desafían las soluciones de seguridad convencionales y requieren una respuesta proactiva por parte de las organizaciones. Mantenerse informado y adoptar medidas preventivas es clave para protegerse contra el ciberespionaje y otras formas de ataques avanzados.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Microsoft Copilot eliminado por error en Windows 10...

Vulnerabilidad crítica en Apache Tomcat: CVE-2025-24813

ASUS revoluciona el mercado con monitores que purifican...

Google Gemini reemplaza a Assistant

Mozilla insta a actualizar Firefox para evitar problemas

Facebook: Monetización para creadores

DeepSeek lanza 3FS

Google: encontrar mi dispositivo ahora permite rastrear personas

Steam Guard: La Prueba Definitiva de Seguridad en...

Microsoft advierte sobre campaña de phishing que suplanta...

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!