AMPLIACION SOBRE DETALLES DEL NUEVO MALWARE METASPLOIT BACKDOOR GZipDe

Los investigadores de seguridad de AlienVault descubrieron una nueva cepa de malware llamada GZipDe que parece ser parte de un ataque dirigido, muy probablemente una campaña de ciberespionaje.

Los investigadores descubrieron este nuevo malware a principios de esta semana después de que un usuario de Afganistán subiera un documento Word de boobytrapped en VirusTotal.

El documento contenía texto tomado de un artículo publicado el mes pasado sobre la Cumbre de la Organización de Cooperación de Shanghai, una conferencia política sobre temas políticos, económicos y de seguridad de Eurasia.

Malware muy probablemente utilizado para el ciberespionaje

Debido a que VirusTotal oculta información precisa sobre el origen de la carga, el objetivo de este ataque es desconocido.

‘Solo hemos visto una muestra del malware’, dijo Chris Doman, un investigador de seguridad de AlienVault a Bleeping Computer.

‘Parece muy específico’, agregó Doman. ‘Dado que el documento señuelo está en inglés y subido desde Afganistán, puede haber estado apuntando a alguien en una embajada o similar de allí’.

Una infección GZipDe es un proceso de varios pasos:

Este archivo de Word fue solo el primer paso en un proceso de infección de varios pasos, que Doman detalló en un informe publicado ayer.

El documento atraía a los usuarios hacia la habilitación de macros, que luego ejecutaban una secuencia de comandos de Visual Basic, que ejecutaba un código de PowerShell, que descargaba un ejecutable PE32, que luego descartaba el malware real -GZipDe.

Pasos de infección de GZipDe

Según Doman, GZipDe está codificado en .NET y utiliza ‘un método de encriptación personalizado para ocultar la memoria de proceso y eludir la detección de virus’.

GZipDe es un ‘descargador’, lo que significa que su función es obtener otra amenaza más potente de un servidor remoto.

Este segundo servidor se cayó cuando el investigador encontró el malware, y en condiciones normales, la investigación habría terminado en esta fase.

Afortunadamente, el equipo de AlienVault tuvo suerte porque el motor de búsqueda de IoT Shodan había indexado el servidor y ‘lo había grabado sirviendo una carga útil de Metasploit’.

Carga útil registrada en Shodan:

GZipDe elimina la puerta trasera basada en Metasploit

Al analizar el Shellcode registrado, el equipo de AlienVault determinó que se trataba de un módulo Metasploit. Metasploit es un marco utilizado por los investigadores de seguridad para las pruebas de penetración, y este módulo en particular se desarrolló para funcionar como una puerta trasera.

‘Por ejemplo, puede recopilar información del sistema y contactar al servidor de comando y control para recibir más comandos’, dice el equipo de AlienVault.

‘Este Shellcode carga todo el archivo DLL en la memoria, por lo que puede funcionar sin escribir información en el disco. […] Desde este punto, el atacante puede transmitir cualquier otra carga útil para adquirir privilegios elevados y moverse dentro del local red.’

El uso de Metasploit en lugar de una cepa de malware personalizada no es una táctica nueva. En los últimos años, los ladrones han estado migrando lentamente del desarrollo de malware personalizado al uso de herramientas ya preparadas, como Metasploit o Cobalt Strike [1, 2, 3].

‘Básicamente, dificulta la atribución y usarán el esfuerzo mínimo requerido para lograr sus objetivos’, dijo Doman a Bleeping Computer.

Ver información original al respecto en Fuente: