Los piratas informáticos han encontrado una nueva forma de ocultar malware mediante una técnica que los expertos han calificado de “impresionante”. Los expertos descubrieron que los piratas informáticos han estado utilizando los registros de eventos de Windows como lugar para ocultar su malware.
Los piratas informáticos utilizaron una nueva técnica para ocultar malware en los registros de eventos de Windows
Según el relato de TecnologíaRadarla nueva técnica es la primera de su tipo en la que los piratas informáticos utilizaron un “cuentagotas de malware personalizado” para inyectar un malware que no tiene un archivo en los registros de eventos de Windows.
El malware se ubicó estratégicamente no en cualquier registro, sino en registros específicos para servicios de administración de claves (KMS). Los investigadores de ciberseguridad de Kaspersky fueron los primeros en detectar esta nueva técnica después de que un cliente dijera que le habían inyectado un punto.
Las herramientas de la campaña se describieron como comerciales y/o personalizadas
Según los investigadores, toda la campaña está diseñada para ser muy específica y “implementa un gran conjunto de herramientas”. Se descubrió que las herramientas utilizadas eran comerciales y/o incluso estaban diseñadas a medida para el ataque específico.
Denis Legezo de Kasperky anunció que era la primera vez que los hackers utilizaban este tipo de técnica. Legezo dijo que el uso de los registros de eventos de Windows para malware se detectó de la nada.
Cómo se oculta por primera vez el malware en los registros de eventos de Windows
El dropper de malware funciona copiando primero WerFault.exe (el archivo oficial de manejo de errores en el sistema operativo) y colocándolo en la carpeta C:11Windows1Task. Una vez dentro, se agregará un recurso binario cifrado a Wer.dll en el mismo espacio.
El orden de búsqueda Wer.dll o Informe de errores de Windows será secuestrado y los piratas informáticos podrán cargar el sistema con código malicioso. Según Legezo, el propósito del cargador es escanear los registros de eventos y buscar líneas específicas.
Los piratas informáticos escriben fragmentos de código shell cifrado que se convierte en malware
Si no se pueden encontrar líneas, los piratas informáticos “escribirán fragmentos de código shell cifrado” que a su vez darán como resultado el malware. El malware se puede utilizar más adelante en la siguiente etapa del ataque.
Esto significa que wer.dll funcionará como un cargador y sin los registros de eventos de Windows con el código shell, el malware no podrá causar mucho daño. Legezo dijo que toda la técnica fue impresionante refiriéndose a lo únicos que los piratas informáticos intentaron atacar los sistemas.
Las pistas apuntan hacia el atacante de APT, pero el grupo de piratería específico sigue siendo desconocido
Según Legezo, los piratas informáticos podrían ser expertos y tener un buen arsenal de herramientas comerciales avanzadas. La declaración de Legezo, según TechRadar, insinuaba que se trataba de “un atacante de APT”.
Al cierre de esta edición, no se ha señalado quién es el actor de la amenaza. Los investigadores, sin embargo, afirman que la campaña ya comenzó en septiembre del año pasado. Sin embargo, debido a que no hay similitudes con otros ataques anteriores, Tech Radar dijo que esto podría significar que los piratas informáticos podrían ser nuevos jugadores.
ⓒ 2023 . .
