noviembre 8, 2024

Complete News World

Malware casi indetectable vinculado a Russian Cozy Bear • The Register

3 min read

El equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks dice que el malware que 56 productos antivirus no pudieron detectar es una prueba de que los atacantes respaldados por el estado han encontrado nuevas formas de hacerlo.

analistas de la unidad 42 afirmar que el malware se detectó en mayo de 2022 y contiene una carga maliciosa que sugiere que se creó con una herramienta llamada Brute Ratel (BRC4). En su lugar descarado sitio de Internet, BRC4 se describe como “Un centro de mando y control personalizado para el equipo rojo y la simulación del oponente”. Los autores de la herramienta incluso afirman que aplicaron ingeniería inversa al software antivirus para hacer que BRC4 sea más difícil de detectar.

El malware observado por la Unidad 42 comienza como un archivo que dice ser el currículum de un tipo llamado Roshan Bandara. Excepcionalmente, el CV de Bandara se ofrece como un archivo ISO, un formato de archivo de imagen de disco. Si los usuarios hacen clic en la ISO, se monta como una unidad de Windows y muestra una ventana del administrador de archivos con un solo archivo: “Roshan-Bandara_CV_Dialog”.

El archivo parece un archivo de Microsoft Word pero, sorprendentemente, no es realmente un currículum. Cuando hace doble clic en él, abre CMD.EXE y ejecuta el actualizador de OneDrive, que obtiene e instala BRC4.

Una vez que se ejecuta el malware, pueden pasar muchas cosas malas a las máquinas infectadas.

Pero la unidad 42 no se preocupa por estas cosas malas. La técnica utilizada para hacer que BRC4 funcione es lo que llamó la atención del equipo, ya que es tan complicado que sugiere que los actores del estado-nación estuvieron detrás de su desarrollo.

Posiblemente incluso APT29, la pandilla vinculada a Moscú, también conocida como Cozy Bear y que se cree que está involucrada en el ataque a Solar Winds y muchas otras redadas. APT29 ha utilizado ISO envenenados en el pasado.

READ  Si el horario de verano parece complicado, intente determinar la hora en la Luna

La Unidad 42 también señala que la ISO utilizada en este ataque se creó el mismo día en que apareció una nueva versión de BRC4, lo que sugiere que los actores respaldados por el estado podrían monitorear el turbio mundo del malware comercial y ponerse a trabajar rápidamente mientras el mundo intenta ponerse al día.

“El análisis de las dos muestras descritas en este blog, junto con la elaboración avanzada utilizada para empaquetar estas cargas útiles, muestra claramente que los actores cibernéticos maliciosos han comenzado a adoptar esta capacidad”, se lee en la publicación de la Unidad 42. “Creemos que es imperativo que todos los proveedores de seguridad crean protecciones para detectar BRC4 y que todas las organizaciones tomen medidas proactivas para defenderse de esta herramienta”. ®

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *