Un «malware políglota» no documentado anteriormente se está implementando en
ataques contra organizaciones de aviación, comunicaciones por satélite y
transporte crítico en los Emiratos Árabes Unidos.
El malware ofrece una puerta trasera llamada Sosano, que establece
persistencia en los dispositivos infectados y permite a los atacantes ejecutar
comandos de forma remota.
La actividad
fue descubierta por Proofpoint en octubre de 2024, que afirma que los ataques están vinculados a un actor de amenazas llamado
‘UNK_CraftyCamel’. Si bien la campaña aún es pequeña, los
investigadores informan que aún está avanzada y es peligrosa para las empresas
atacadas.
Los investigadores de Proofpoint notaron que los ataques tienen similitudes
con las operaciones de los grupos TA451 y TA455 alineados con Irán. Sin
embargo, la última campaña es distinta, ya que tiene un fuerte enfoque de
ciberespionaje.
El malware políglota consiste en archivos especialmente diseñados que
contienen múltiples formatos de archivo, lo que permite que varias
aplicaciones los interpreten de manera diferente.
Por ejemplo, un solo archivo podría estructurarse como un MSI (instalador de
Windows) válido y como un JAR (archivo Java), lo que hace que Windows lo
reconozca como un MSI mientras que el entorno de ejecución de Java lo
interpreta como un JAR.
Un ejemplo de archivos políglotas utilizados en campañas de malware es el
cargador Emmenhtal, que se observa con frecuencia en cadenas de ataques
cibernéticos que distribuyen ladrones de información o RAT.
Esta técnica permite a los atacantes enviar de forma sigilosa
cargas útiles maliciosas
evadiendo el software de seguridad, que normalmente analiza los archivos
basándose en un único formato.
En la nueva campaña observada por Proofpoint, el ataque comienza con un correo
electrónico de phishing dirigido y altamente selectivo enviado desde una
empresa de electrónica india comprometida (INDIC Electronics).
Estos correos electrónicos contienen URL maliciosas que dirigen a las víctimas
a un dominio falso (indicelectronics[.]net), donde se les solicita que
descarguen un archivo ZIP («OrderList.zip»). El archivo contiene un
archivo LNK (acceso directo de Windows) camuflado como XLS, así como dos
archivos PDF («about-indic.pdf» y «electronica-2024.pdf»). Ambos
archivos PDF son políglotas y contienen una estructura de archivo PDF
legítima, pero una estructura de archivo maliciosa adicional.
El primer PDF contiene código HTA (aplicación HTML), mientras que el otro
incluye un archivo ZIP oculto.
El
principal beneficio de usar políglotas es la evasión, ya que la mayoría de las herramientas de seguridad inspeccionarán el
primer formato de archivo (PDF), que es un documento benigno, e ignorarán
por completo la parte maliciosa oculta (cargas útiles HTA/ZIP).
Al ejecutar el archivo LNK, cmd.exe lanza mshta.exe, que ejecuta
el script HTA oculto dentro del primer PDF, lo que activa el lanzamiento del
segundo archivo PDF.
El archivo oculto dentro del segundo PDF escribe un archivo .URL en el
Registro de Windows para lograr persistencia y luego ejecuta un archivo JPEG
codificado con XOR que decodifica una carga útil DLL
(«yourdllfinal.dll»), que es la puerta trasera Sosano.
Proofpoint dice que Sosano es una carga útil basada en Go relativamente simple
con una funcionalidad limitada que probablemente se aumentó a 12 MB de tamaño
para ofuscar las pequeñas cantidades de código malicioso que utiliza.
Una vez activado, Sonaso establece una conexión con su servidor de comando y
control (C2) en «bokhoreshonline[.]com» y espera comandos, incluidas
operaciones con archivos, ejecución de comandos de shell y obtención y
lanzamiento de cargas útiles adicionales.
La defensa contra amenazas políglotas requiere un enfoque multifacético que
combine el análisis de correo electrónico, la educación del usuario y un
software de seguridad que pueda detectar múltiples formatos de archivo en un
solo archivo.
Si no es necesario en las operaciones diarias, es prudente bloquear tipos de
archivos peligrosos como LNK, HTA y ZIP en la puerta de enlace de correo
electrónico.
Fuente:
BC