Malware DownEx utilizado en campaña de espionaje
Un nuevo tipo de malware llamado DownEx ha sido descubierto por investigadores rumanos de ciberseguridad.
Se está utilizando en una sofisticada campaña de espionaje dirigida a organizaciones gubernamentales en Asia Central, con evidencia que sugiere la participación de actores de amenazas con sede en Rusia. Los ataques se llevan a cabo a través de correos electrónicos de spear-phishing que contienen una carga útil con una trampa explosiva, que se disfraza como un archivo de Microsoft Word.
Una vez que se abre el archivo adjunto, se muestra un documento señuelo mientras una aplicación HTML maliciosa se ejecuta en segundo plano. Este archivo HTA está diseñado para establecer contacto con un servidor de comando y control remoto para recuperar una carga útil de la siguiente etapa, que se cree que es una puerta trasera para establecer la persistencia. Los atacantes también usan herramientas personalizadas para actividades posteriores a la explotación, incluidos archivos binarios basados en C/C++ para enumerar los recursos de la red, un script de Python para recibir instrucciones para robar archivos, eliminar otro malware y capturar capturas de pantalla, y un malware basado en C++ llamado DownEx. para exfiltrar archivos al servidor C2.
También se han descubierto otras dos variantes de DownEx. Los investigadores señalaron además que se trata de un ataque sin archivos, lo que significa que el script malicioso solo existe en la memoria y nunca llega a los discos de la víctima.
¿Qué es el malware sin archivos y qué lo hace particularmente peligroso?
El malware sin archivos es un tipo de software malicioso que opera en la memoria de una computadora, sin dejar rastros en el disco duro. Esto hace que sea particularmente difícil de detectar y eliminar con el software antivirus tradicional porque no hay archivos para escanear. En lugar de depender de un archivo o ejecutable, el malware sin archivos a menudo se entrega a través de técnicas como ingeniería social, vulnerabilidades o macros maliciosas en documentos.
Una de las características clave del malware sin archivos es que utiliza programas o herramientas legítimos que ya están presentes en el sistema, como PowerShell o Windows Management Instrumentation (WMI), para llevar a cabo sus actividades maliciosas. Al hacer esto, el malware sin archivos puede mezclarse con la actividad legítima del sistema y evadir la detección por parte del software antivirus tradicional.
Otra razón por la que el malware sin archivos es particularmente peligroso es que a menudo puede eludir las medidas de protección de puntos finales, como los firewalls, los sistemas de prevención y detección de intrusiones (IDS/IPS) y otras herramientas de seguridad que se basan en firmas basadas en archivos o algoritmos de coincidencia de patrones. Además, debido a que no escribe nada en el disco, puede pasar desapercibido durante más tiempo y tiene más posibilidades de lograr sus objetivos antes de ser descubierto.
El malware sin archivos a menudo se usa en ataques dirigidos, como aquellos contra instituciones financieras u otros objetivos de alto valor, donde el objetivo es obtener acceso a información o sistemas confidenciales. También se puede usar para ataques más generalizados, como campañas de ransomware, donde los atacantes buscan infectar tantos sistemas como sea posible.
