Los investigadores de seguridad de Kaspersky han descubierto una nueva cepa de malware desarrollada por el grupo de piratas informáticos DeathStalker que fue diseñada para evitar la detección en PC con Windows.

Si bien el actor de amenazas ha estado activo desde al menos 2012, DeathStalker llamó la atención de Kaspersky por primera vez en 2018 debido a sus características de ataque distintivas que eran diferentes a las utilizadas por los ciberdelincuentes o ciberdelincuentes. hackers patrocinados por el estado.

Se sabe que el grupo utiliza una amplia gama de cepas de malware y cadenas de distribución complejas en sus ataques, pero las tácticas utilizadas para evadir la detección son lo que realmente los distingue.

Kaspersky descubrió el nuevo implante PowerPepper de DeathStalker en mayo de este año mientras investigaba otros ataques utilizando el implante Powersing basado en PowerShell del grupo. Desde su descubrimiento, el grupo ha desarrollado e implementado nuevas versiones de PowerPepper, que también ha adaptado las cadenas de distribución de malware para alcanzar nuevos objetivos.

Malware PowerPepper

El nuevo malware PowerPepper es una puerta trasera de Windows PowerShell en memoria que tiene la capacidad de permitir a sus operadores ejecutar comandos de shell de forma remota desde un servidor de comando y control (C2).

Como es el caso con el trabajo anterior de DealthStalker, PowerPepper intenta evadir la detección o ejecución de sandboxes en Windows 10 usando varios trucos como detección de movimiento del mouse, filtrado de direcciones MAC de un cliente y la adecuación de su flujo de ejecución según los productos antivirus instalados en un sistema objetivo. . El malware se propaga a través de archivos adjuntos de correo electrónico de spear phishing o mediante enlaces a documentos que contienen macros de Visual Basic para aplicaciones (VBA) maliciosas que ejecutan PowerPepper y obtienen persistencia en los sistemas infectados.

PowerPepper también emplea una serie de trucos de solución alternativa de la cadena de entrega, como ocultar cargas útiles en las propiedades de formas incrustadas de Word, usar archivos HTML compilados de Windows (CHM) como archivos para archivos maliciosos, ocultar y ofuscar archivos persistentes, ocultar cargas útiles en imágenes usando esteganografía, perderse en la traducción y ejecución de comandos de shell de Windows a través de la ejecución de proxy binario firmado.

Pierre Delcher de Kaspersky proporcionó información adicional sobre cómo PowerPepper se comunica con su servidor C2 en un nuevo informe:

“La lógica C2 del implante destaca porque se basa en comunicaciones vía DNS sobre HTTPS (DoH), utilizando respondedores CloudFlare. PowerPepper primero intenta aprovechar Excel de Microsoft como cliente web para enviar consultas DoH a un servidor C2, pero volverá al cliente web estándar de PowerShell y, en última instancia, a las comunicaciones DNS regulares, si los mensajes no pueden llegar. »

Para evitar ser víctimas de PowerPepper, los usuarios deben evitar abrir archivos adjuntos o hacer clic en enlaces en correos electrónicos de remitentes desconocidos, así como habilitar macros en documentos de fuentes. inconfirmado.

Vía BleepingComputer

Share This
A %d blogueros les gusta esto: