Un grupo de ciberdelincuentes oculta 'malware' en imágenes para atacar organizaciones ucranianas
Tiene como objetivo al personal militar ucraniano, incluido el que se encuentra fuera del país, y utiliza la esteganografía para infectar sus dispositivos con un troyano de acceso remoto.
Un grupo de atacantes dirigidos a organizaciones afiliadas a Ucrania ha estado entregando cargas maliciosas ocultas dentro de píxeles de imagen. Conocida como esteganografía, esta es solo una de las muchas técnicas avanzadas que utiliza esta banda, UAC-0184, para evadir la detección de su malware conocido como IDAT.
El grupo ha sido visto atacando a militares ucranianos a través de correos electrónicos de phishing disfrazados de mensajes de la Tercera Brigada de Asalto Separada del país y del ejército israelí. No obstante, la empresa Morphisec también ha confirmado objetivos fuera del país.
"Aunque el adversario apuntó estratégicamente a entidades con sede en Ucrania, aparentemente buscó expandirse a entidades adicionales afiliadas a la geografía", dijeron los investigadores en un nuevo informe. "Los hallazgos de Morphisec pusieron en primer plano un objetivo más específico: las entidades ucranianas con sede en Finlandia". La firma también ha observado el nuevo enfoque de esteganografía al entregar cargas maliciosas después del compromiso inicial.
La inyección de malware por etapas termina con el troyano Remcos
Los ataques detectados por Morphisec entregaron un cargador de malware conocido como IDAT o HijackLoader que se ha utilizado en el pasado para entregar una variedad de troyanos y programas de malware, incluidos Danabot, SystemBC y RedLine Stealer. En este caso, UAC-0184 lo utilizó para implementar un programa comercial troyano de acceso remoto (RAT) llamado Remcos.
"Distinguido por su arquitectura modular, IDAT emplea características únicas como inyección de código y módulos de ejecución, lo que lo distingue de los cargadores convencionales", dijeron los investigadores de Morphisec. “Emplea técnicas sofisticadas como carga dinámica de funciones API de Windows, pruebas de conectividad HTTP, listas de bloqueo de procesos y llamadas al sistema para evadir la detección. El proceso de infección de IDAT se desarrolla en múltiples etapas, cada una de las cuales cumple funciones distintas”.
La infección ocurre en etapas, y la primera etapa realiza una llamada a una URL remota para acceder a un archivo .js (JavaScript). El código de este archivo le dice al ejecutable dónde buscar un bloque de código cifrado dentro de su propio archivo y la clave que debe usarse para descifrarlo.
La configuración IDAT utilizada por los atacantes también utiliza un archivo PNG incrustado cuyo contenido se busca para localizar y extraer la carga útil utilizando la ubicación 0xEA79A5C6 como punto de partida. El código de malware se puede ocultar en los datos de píxeles de archivos de imágenes y videos sin afectar necesariamente el funcionamiento de estos archivos o la información multimedia que contienen. Si bien esta no es una técnica nueva para los autores de malware, no se observa comúnmente.
"Por ejemplo, una imagen con una profundidad de píxel de 24 bits (16,7 millones de colores) puede contener código incrustado en los bits menos significativos (LSB) de cada píxel, sin cambiar el aspecto de la imagen", explican los investigadores de Morphisec. "Si bien el archivo multimedia se puede escanear, dado que la carga maliciosa está ofuscada, puede evadir la detección basada en firmas, lo que permite que un cargador de malware suelte con éxito el medio, extraiga la carga maliciosa y la ejecute en la memoria".
Para ejecutar la carga útil oculta, el cargador IDAT emplea otra técnica conocida como módulo stomping, donde la carga útil se inyecta en un archivo DLL legítimo, en este caso uno llamado PLA.dll (Registros y alertas de rendimiento), para reducir las posibilidades de que un punto final El producto de seguridad lo detectará.
La carga útil final, el troyano Remcos, permite a los atacantes robar información y vigilar la actividad de la víctima. También permite a los atacantes controlar una computadora infectada y, dado que es una RAT comercial y no personalizada, ha sido utilizada por múltiples grupos en el pasado. Los avisos de Morphisec y CERT-UA contienen hashes de archivos y direcciones IP que pueden servir como indicadores de compromiso para desarrollar firmas de detección.
