Según la nueva investigación de Fortinet, los investigadores de seguridad cibernética están eliminando los ataques cibernéticos inusuales que han sido venerados con los encabezados de DOS y PE que han corrompido el malware.
Los encabezados DOS (Sistema operativo de disco) y PE (ejecutable portátil) son partes importantes de los archivos PE de Windows y proporcionan información sobre el ejecutable.
El encabezado DOS hace que el archivo ejecutable sea compatible con MS-DOS y permite que el sistema operativo lo reconozca como un ejecutable válido, pero el encabezado PE contiene los metadatos y la información necesarias para que Windows cargue y ejecute el programa.
«Durante semanas, descubrimos malware que se ejecutaba en máquinas comprometidas», dijeron Xiaopeng Zhang y John Simmons en un informe compartido con Hacker News sobre el equipo de respuesta de Fortiguard Incide. «Los actores de amenaza estaban ejecutando scripts y lotes de PowerShell para ejecutar malware en los procesos de ventana».
Fortinet dijo que no puede extraer el malware en sí, pero ha obtenido un volcado de memoria de los procesos de malware y un volcado de memoria completo de una máquina comprometida. No está claro cómo se distribuye el malware, o cuán extendidos los ataques distribuyen.
El malware que se ejecuta dentro del proceso dllhost.exe es un archivo PE de 64 bits con encabezados corruptos de DOS y PE para desafiar los esfuerzos de análisis y reconstruir las cargas útiles de la memoria.
A pesar de estas fallas, las compañías de seguridad cibernética han notado además que pueden desmantelar el malware abandonado dentro de una configuración local controlada replicando el entorno de un sistema comprometido después de «múltiples intentos, errores y soluciones repetidas».
Cuando se ejecuta, el malware descifra la información del dominio del comando y control (C2) almacenada en la memoria y establece el contacto con el servidor («Rushpapers (.) Com») con la amenaza recién creada.
«Después de lanzar el hilo, el hilo principal ingresa al estado de sueño hasta que el hilo de comunicación completa la ejecución», dijo el investigador. «El malware se comunica con el servidor C2 a través del protocolo TLS».
Un análisis posterior determinó que el malware era un troyano de acceso remoto (rata) con la capacidad de capturar capturas de pantalla. Enumerar y operar servicios del sistema para hosts comprometidos. Incluso puede actuar como un servidor esperando una conexión «cliente» entrante.
«Estamos implementando una arquitectura de socket de múltiples subprocesos. Cada vez que se conecta un nuevo cliente (atacante), el malware genera un nuevo hilo para manejar la comunicación», dice Fortinet. «Este diseño permite sesiones concurrentes y admite interacciones más complejas».
«Al operar en este modo, el malware transforma efectivamente el sistema comprometido en una plataforma de acceso remoto, lo que permite a un atacante lanzar más ataques o realizar diversas acciones en nombre de la víctima».
Source link
