Los investigadores de seguridad de Kaspersky han descubierto una nueva variedad de malware desarrollada por el grupo de piratas informáticos DeathStalker que ha sido diseñada para evitar la detección en PC con Windows.
Si bien el actor de amenazas ha estado activo desde al menos 2012, DeathStalker llamó la atención de Kaspersky por primera vez en 2018 debido a sus características de ataque distintivas que no se parecían a las empleadas por los ciberdelincuentes o los piratas informáticos patrocinados por el estado.
El grupo es conocido por utilizar una amplia gama de cepas de malware y cadenas de distribución complejas en sus ataques, pero las tácticas utilizadas para evadir la detección son las que realmente lo hacen destacar.
- Hemos elaborado una lista del mejor software antivirus disponible
- Mantener su virus de dispositivos libre con la mejor eliminación de malware de software
- Consulte también nuestro resumen del mejor software de protección de endpoints
Kaspersky descubrió el nuevo implante PowerPepper de DeathStalker en mayo de este año mientras investigaba otros ataques que utilizaban el implante Powersing basado en PowerShell del grupo. Desde su descubrimiento, el grupo ha desarrollado e implementado nuevas versiones de PowerPepper, que también adaptó las cadenas de distribución del malware para alcanzar nuevos objetivos.
El nuevo malware PowerPepper es una puerta trasera en memoria basada en Windows PowerShell que tiene la capacidad de permitir que sus operadores ejecuten comandos de shell de forma remota desde un servidor de comando y control (C2).
Como es el caso del trabajo anterior de DealthStalker, PowerPepper intenta evadir la detección o ejecución de sandboxes en Windows 10 usando varios trucos como detectar movimientos del mouse, filtrar las direcciones MAC de un cliente y adaptar su flujo de ejecución dependiendo de qué productos antivirus estén instalados en un sistema de destino. . El malware se propaga a través de archivos adjuntos de correo electrónico de spear phishing o mediante enlaces a documentos que contienen macros de Visual Basic para aplicaciones (VBA) maliciosas que ejecutan PowerPepper y obtienen persistencia en los sistemas infectados.
PowerPepper también utiliza una serie de trucos de evasión de la cadena de entrega, como ocultar cargas útiles en las propiedades de formas incrustadas de Word, usar archivos HTML compilados de Windows (CHM) como archivos para archivos maliciosos, enmascarar y ofuscar archivos persistentes, ocultar cargas útiles dentro de imágenes usando esteganografía, perderse en El shell de Windows ordena la traducción y ejecución a través de una ejecución de proxy binaria firmada.
Pierre Delcher de Kaspersky proporcionó más información sobre cómo PowerPepper se comunica con su servidor C2 en un nuevo informe, diciendo:
“Destaca la lógica C2 del implante, que se basa en comunicaciones vía DNS sobre HTTPS (DoH), utilizando respondedores CloudFlare. PowerPepper primero intenta aprovechar Excel de Microsoft como cliente web para enviar solicitudes de DoH a un servidor C2, pero recurrirá al cliente web estándar de PowerShell y, en última instancia, a las comunicaciones DNS habituales, si los mensajes no pueden llegar».
Para evitar ser víctimas de PowerPepper, los usuarios deben evitar abrir archivos adjuntos o hacer clic en enlaces en correos electrónicos de remitentes desconocidos, así como habilitar macros en documentos de fuentes no verificadas.
Fuente: LINK
Get Involved & Participate!
Comments