Subzero Malware empleado por actor de amenazas del sector privado
Los investigadores de seguridad del Threat Intelligence Center de Microsoft publicaron un informe sobre una pieza de malware desarrollada por un actor de amenazas del sector privado.
El malware en cuestión se llama Subzero y la entidad que lo usa se conoce como KNOTWEED, y se cree que opera desde Austria. El malware Subzero se usó en ataques utilizando varias vulnerabilidades de día cero en Windows y Adobe Reader.
El malware Subzero se distribuyó principalmente utilizando los exploits mencionados anteriormente, pero también utilizó otros vectores de ataque. Los objetivos que sufrieron Subzero se ubicaron en Austria, Reino Unido y Panamá.
Según se informa, el malware Subzero tiene la capacidad de escapar de los entornos de sandbox a través de una DLL maliciosa escrita en el disco a través del proceso de Adobe, lo que finalmente permite la "ejecución de código a nivel del sistema".
El malware también se implementó utilizando un archivo de Excel malicioso, disfrazado para parecerse a un documento inmobiliario. Según Microsoft, la macro maliciosa dentro del archivo de Excel estaba muy ofuscada usando cadenas de texto y cadenas de macros de Excel 4.0.
El malware Subzero se detecta y aparece como "Jumplump" y "Corelump" dentro de Windows Defender, refiriéndose respectivamente al cargador persistente y la carga principal del malware.