Los investigadores de ciberseguridad descubrieron malware basado en GO llamado XDIGO, que se utilizó en un ataque a las agencias gubernamentales en Europa del Este en marzo de 2025.
Se dice que la cadena de ataque aprovechó una colección de archivos de accesos directos de Windows (LNK) como parte de un procedimiento de varias etapas para la implementación de malware, dijo Harfanglab, la compañía francesa de seguridad cibernética.
XDSPY es el nombre asignado a Cyberspy desde 2011, conocido por atacar a las agencias gubernamentales en Europa del Este y los Balcanes. Esto fue documentado por primera vez a principios de 2020 por un certificado bielorruso.
En los últimos años, las empresas en Rusia y Moldavan han sido atacadas por una variedad de campañas que ofrecen familias de malware como Utask, XDDOWN y DSDOWLOGER, que permite descargar cargas adicionales para robar información confidencial de hosts comprometidos.
Harfanglab dijo que se ha observado a los actores de amenaza que explotan los defectos de ejecución de código remoto en Microsoft Windows que se activan al procesar archivos LNK especialmente creados. La vulnerabilidad (ZDI-Can-25373) fue publicada por Trend Micro en marzo de este año.
«Los datos creados con los archivos LNK pueden hacer que los usuarios no se vean en el archivo en el archivo que inspeccione el archivo a través de la interfaz de usuario proporcionada por Windows», dijo la iniciativa Zero Day de Trend Micro (ZDI) en ese momento. «Los atacantes pueden explotar esta vulnerabilidad para ejecutar código en el contexto del usuario actual».
Un análisis posterior de los artefactos de archivos LNK que utilizan ZDI-CAN-25373 descubrieron un pequeño subconjunto que contenía nueve muestras. Esto aprovecha el vástago defectuoso confuso del análisis LNK como resultado de que Microsoft no implementa su propia especificación MS-Shlllink (versión 8.0).
Según la especificación, el límite teórico máximo para la longitud de una cadena en un archivo LNK es el valor entero más grande que se puede codificar dentro de dos bytes (es decir, 65,535 caracteres). Sin embargo, la implementación real de Windows 11 limita el contenido total de texto guardado a 259 caracteres, excepto los argumentos de la línea de comandos.
«Esto lleva a situaciones confusas en las que algunos archivos LNK se analizan de manera diferente en especificaciones y ventanas, o incluso cuando los archivos LNK que no son válidos para cada especificación son realmente válidos para Microsoft Windows», dice Harfanglab.
«Debido a esta desviación de la especificación, puede ejecutar otra línea de comando en Windows, ya sea creando específicamente un archivo LNK que parece ejecutar una línea de comandos específica, o incluso deshabilitarse de acuerdo con un analizador de terceros que implementa la especificación».
La combinación de problemas de acolchado en blanco con la confusión de análisis de LNK es lo que los atacantes pueden aprovechar para ocultar comandos que se ejecutan tanto en la interfaz de usuario de Windows como en los analizadores de terceros.
Se dice que nueve archivos LNK se distribuyeron dentro del archivo ZIP. Cada uno de los últimos contiene un segundo archivo zip que contiene un archivo PDF señuelo, un ejecutable legítimo pero renombrado, y una DLL incorrecta que se acompaña a través de un binario.
Vale la pena señalar que esta cadena de ataque fue documentada por Bi.Zone en el último período del mes pasado. Esto se debe a que fue realizado por actores de amenaza que están rastreando como hombres lobo silenciosos para infectar a las compañías moldavas y rusas con malware.
DLL es un descargador de primera etapa llamado Etdownloader, que probablemente tenga la intención de implementar implantes de recopilación de datos llamados XDIGO basados en infraestructura, víctimas, tiempo, tácticas y superposición de herramientas. XDIGO se califica como una nueva versión de malware («usrrunvga.exe»), detallada por Kaspersky en octubre de 2023.
XDIGO es un Steeler que puede cosechar archivos, extraer contenido de portapapeles y capturar capturas de pantalla. También admite comandos que ejecutan comandos o binarios recuperados de servidores remotos a través de solicitudes HTTP GET. La eliminación de datos ocurre a través de una solicitud de publicación HTTP.
Al menos un objetivo confirmado se ha identificado en la región de Minsk, con otros artefactos que sugieren dirigirse a grupos minoristas rusos, instituciones financieras, grandes compañías de seguros y servicios postales del gobierno.
«Este perfil de orientación es consistente con las actividades históricas de las agencias gubernamentales, particularmente en Europa del Este y en Bielorrusia, particularmente en la región», dijo Harfanglab.
«El enfoque de XDSPY también se demuestra por sus capacidades de evasión personalizadas. El malware se informa como el primer malware que trata de evitar la detección de la solución Sandbox de PT Security, una compañía de seguridad cibernética rusa que atiende a organizaciones públicas y financieras en la Federación Rusa».
Source link
