Recientemente los investigadores de seguridad han descubierto que el grupo de piratas informáticos «Witchetty» han utilizado una imagen del logotipo de Windows para ocultar malware de puerta trasera.
Según el informe, los piratas informáticos realizaron una actualización de su kit de herramientas con la finalidad de atacar diferentes vulnerabilidades, además hicieron uso de esteganografía para lograr ocultar su carga maliciosa de los antivirus instalados en los dispositivos.
Te puede interesar | Microsoft lanza la primera actualización Windows 11 22H2 (KB5017389)
Malware oculto en el logotipo de Windows
Para los que no saben que es la esteganografía, es una acto de ocultar datos dentro de otra información publica o secreta con la finalidad de evadir la detección de los mecanismos de seguridad informática.
Un ejemplo claro es lo que comentamos en este artículo, los piratas han creado un archivo que parece una imagen inofensiva (imagen superior), sin embargo, esconde código malicioso con finalidades muy desagradables.
Vía Symantec, el grupo Witchetty ha utilizado una esteganografía para ocultar un malware de puerta trasera cifrado con XOR en una imagen de mapa de bits del logotipo de Windows antiguo. El archivo se aloja en un servicio en la nube fiable en lugar de un servidor de comando y control C2 del propio grupo, esto minimiza las posibilidades de generar alarmas de seguridad.
El ataque del malware inicia cuando los actores de amenazas obtienen acceso inicial a una red, entonces ahí buscan la puerta trasera que contiene el archivo para realizar las siguientes acciones:
- Realizar acciones de archivos y directorios
- Iniciar, enumerar o eliminar procesos
- Modificar el Registro de Windows
- Descargar cargas útiles adicionales
- Exfiltrar archivos
Cabe mencionar que el grupo introdujo una utilidad de proxy que hace que los ordenadores infectados actúen como servidores. Además, Witchetty usa utilidades estándar como Mimikatzand para volcar las credenciales de LSASS y abusa de los «lolbins» en el host, como CMD, WMIC y PowerShell.
Comentarios!
Comentarios