Expertos en ciberseguridad descubrieron una campaña de hacking utilizando una técnica nunca antes vista para inyectar malware sin archivos de forma desprevenida en los sistemas afectados. Según el reporte, esta técnica ha facilitado la inyección de shellcode en los registros de eventos de Windows, permitiendo a los hackers maliciosos ocultar los troyanos de última etapa durante el ataque.
Este reporte fue presentado por investigadores de Kaspersky, quienes reportan haber detectado la actividad maliciosa en febrero y calculan que la campaña ha estado activa al menos durante los últimos meses.
Denis Legezo, investigador principal de seguridad en Kaspersky Global Research and Analysis, menciona: “Consideramos que la técnica de registros de eventos, que no hemos visto en ataques anteriores, es la parte más innovadora de esta campaña”.
Legezo agrega que los hackers detrás de la campaña usan una serie de herramientas de inyección y técnicas de evasión para la entrega de la carga final: “Usando al menos dos productos comerciales, los hackers recurren a diversos tipos de troyano de acceso remoto (RAT) y utilidades anti detección”.
En la primera etapa, los atacantes llevan a sus potenciales objetivos a un sitio web de apariencia legítima para la descarga de un archivo .RAR comprimido que oculta herramientas de pentesting como Cobalt Strike o SilentBreak. Es bien sabido que estas herramientas pueden ser usadas con fines maliciosos, como es el caso de la entrega de shellcode a un sistema comprometido.
Posteriormente, los hackers abusan de estas cargas legítimas para inyectar código en cualquier proceso, implementando módulos adicionales en los procesos del sistema Windows o aplicaciones verificadas como DLP. Esta capa de la cadena de infección se descifra, se mapea en la memoria y ejecuta el código, por lo que se le considera una variante de malware sin archivos.
Como indica su nombre, el malware sin archivos infecta los sistemas afectados sin dejar evidencia en el disco duro local, lo que permite evadir la detección y permanecer oculto incluso a la vista de expertos en informática forense. Esta técnica abusa de la memoria RAM del sistema y de herramientas nativas como PowerShell y Windows Management Instrumentation (WMI).
Aunque esta técnica no es nueva, los expertos detallan cómo el shellcode encriptado que contiene la carga útil maliciosa se incrusta en los registros de eventos de Windows para evadir la detección, dividiéndose en bloques de 8 KB y almacenándose en la parte binaria de los registros de Windows.
A continuación, se coloca un dropper en el directorio de tareas de Windows; un subproceso separado combina todas las piezas de 8 KB antes mencionadas en un shellcode completo y lo ejecuta, completando así el ataque.
Este enfoque permite a los atacantes entregar cualquiera de sus dos troyanos de acceso remoto, cada uno de ellos una combinación de código personalizado complejo y elementos de software disponible públicamente.
Para los expertos de Kaspersky, el código es único y no guarda similitud alguna con otras variantes conocidas de malware, lo que complica atribuir esta actividad maliciosa a algún actor de amenazas en específico. Dar seguimiento a este hallazgo debe ser prioritario para la comunidad de la ciberseguridad, ya que una oleada de ataques podría resultar desastrosa.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.