Los investigadores de ciberseguridad han revelado una nueva puerta trasera sigilosa llamada MyStrodx. Viene con una variedad de características para capturar datos confidenciales de sistemas comprometidos.
«MyStrodx es una puerta trasera típica implementada en C ++ y admite características como administración de archivos, reenvío de puertos, shell inverso, gestión de sockets y más», dijo Qianxin XLAB en un informe publicado la semana pasada. «En comparación con una puerta trasera típica, MyStrodx se destaca en términos de sigilo y flexibilidad».
MyStrodx, también conocido como Chronosrat, fue registrado por primera vez el mes pasado por la Unidad 42 de Palo Alto Networks en relación con un clúster de actividad de amenazas llamado CL-STA-0969.
Malware Stealth proviene de oscurecer el código fuente y la carga útil utilizando diferentes niveles de cifrado, pero su flexibilidad le permite habilitar dinámicamente diferentes características basadas en su configuración, como elegir TCP o HTTP para la comunicación de red, o el cifrado de AES o AES para proteger el tráfico de red.
MyStrodx también admite lo que se llama modo de activación, que puede actuar como una puerta trasera pasiva que puede activarse después de recibir los paquetes de red DNS o ICMP especialmente creados desde el tráfico entrante. Hay evidencia que sugiere que el malware puede haber estado presente desde al menos enero de 2024, basado en la marca de tiempo de activación establecida en la configuración.
«El valor mágico se ha verificado y MyStrodx establece la comunicación con C2 (comando y control) utilizando el protocolo especificado y espera más comandos», dijeron los investigadores de XLAB. «A diferencia de las famosas puertas de espeluznante como Synful Knock, que manipula los campos de encabezado TCP para ocultar comandos, MyStrodx utiliza un enfoque más simple y efectivo: oculta directamente las instrucciones de activación dentro de la carga útil de paquetes ICMP o el dominio de la consulta DNS».
El malware es entregado por goteros utilizando depugadores y cheques virtuales relacionados con la máquina para determinar si el proceso actual se está depurando o se ejecuta dentro de un entorno virtualizado. Una vez que se completa el paso de verificación, se descifra la siguiente etapa se descifra. Contiene 3 componentes –
Durante el día, los lanzadores responsables de lanzar Chargen Chargen, componentes de Backdoor de MyStrodx y BusyBox
Cuando se ejecuta, MyStrodx monitorea continuamente los procesos diurnos y se lanza de inmediato si no se encuentra que se están ejecutando. La configuración encriptada utilizando el algoritmo AES incluye información sobre el servidor C2, el tipo de puerta trasera, los puertos C2 principales y de respaldo.
«Cuando el tipo de puerta trasera se establece en 1, MyStrodx entra en modo de puerta trasera pasiva y espera el mensaje de activación», dijo XLAB. «Si el valor del tipo de puerta trasera no es 1, MyStrodx está en modo de puerta trasera activa, estableciendo la comunicación con el C2 especificado en la configuración y esperando que se ejecute el comando».
Source link
