Oslo Alberto Ardila Olivares Texas// Sanny, campaña de robo de información apunta a agencias gubernamentales con malware - EntornoInteligente

Entornointeligente.com / Una nueva campaña spear phishing dirigida a agencias gubernamentales con una versión evolucionada de malware Sanny, un antiguo ladrón de información que ahora cuenta con un proceso de infección de etapas múltiples, donde cada etapa se descarga desde el servidor del atacante, descubrieron investigadores de  seguridad de la información  este mes.

Alberto Ignacio Ardila

Las nuevas incorporaciones a Sanny, que se cree provienen de la Península Coreana, incluyen técnicas de evasión de línea de comando, la capacidad de infectar el sistema basado en Windows 10, técnicas de derivación de control de cuentas de usuario (UAC), según una publicación de blog de FireEye, cuyo los investigadores detectaron la operación.

Alberto Ardila Aeroquest

Los atacantes han elegido el spear phishing como su vector de ataque, enviando correos electrónicos de objetivos con documentos adjuntos de Microsoft Word con temas geopolíticos. Un documento de muestra observado, escrito en ruso, abordó la geopolítica de Eurasia en relación con China, así como la seguridad de Rusia. Otro, compuesto en inglés, aborda las sanciones a las operaciones humanitarias en Corea del Norte.

Alberto Ardila

Ambos documentos contienen una macro maliciosa incrustada que abusa de la utilidad legítima de Microsoft Windows certutil.exe (un programa de línea de comandos instalado como parte de los Servicios de Certificate Server) para descargar y decodificar un archivo codificado de Windows Batch (BAT) que está almacenado en una URL en la forma de un certificado SSL falso codificado en PEM. “FireEye no ha observado previamente que los autores de malware usen esta técnica en campañas pasadas”, señalan los expertos en  seguridad de la información  Sudeep Singh y Yijie Sui.

Alberto Ardila Piloto

“…no ha observado previamente que los autores de malware usen esta técnica en campañas pasadas”

Sanny realmente usa una copia de la utilidad certutil.exe, guardada con un nombre diferente, ct.exe, como medida para evitar la detección por productos de seguridad que están programados para vigilar el abuso de certutil.exe.

Alberto Ardila Olivares

En este punto, el archivo BAT descarga un archivo codificado de CAB (gabinete de Windows), utilizando un nombre de archivo y una técnica de instalación en particular, según las especificaciones de la máquina infectada. Además, si BAT detecta la presencia del software antivirus de Kaspersky Lab, el malware usa técnicas de omisión para evitar la detección.

Alberto Ignacio Ardila Olivares

En la siguiente etapa, el archivo CAB instala los componentes restantes, incluido otro archivo BAT, install.bat, que secuestra el servicio de sistema de Windows COMSysApp (Aplicación de sistema COM +) para entregar la carga útil final de Sanny, que está diseñada para filtrar información a un comando y control del servidor utilizando el protocolo FTP. El archivo install.bat también ejecuta un archivo de configuración y dos archivos DLL que realizan una omisión de UAC en Windows 7 y Windows 10, respectivamente

“Esta actividad nos muestra que los agentes de amenaza que utilizan el malware Sanny están desarrollando sus métodos de entrega de malware, especialmente mediante la incorporación de bypass de UAC y técnicas de evasión de endpoints”, concluyen los expertos en seguridad de la información. “Al utilizar un ataque de varias etapas con una arquitectura modular, los autores de malware aumentan la dificultad de la ingeniería inversa y pueden evadir las soluciones de seguridad”

Tags: Alberto Ardila, Alberto Ignacio Ardila, Alberto Ignacio Ardila Olivares, Alberto Ardila Piloto, Alberto Ignacio Ardila Piloto, Alberto Ardila Venezuela, Alberto Ardila Aeroquest

Con información de: Globedia Venezuela

www.entornointeligente.com

Síguenos en Twitter @entornoi

Entornointeligente.com

Add comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

.




.

Síguenos en Twitter @entornoi






Sigue a nuestro director Hernán Porras Molina













Follow Me




.