DownEx Malware
Segons els investigadors de l'infosec, les organitzacions governamentals d'Àsia Central s'han convertit en el focus d'una campanya d'espionatge específica i complexa. Aquesta operació utilitza un nou tipus de programari maliciós anomenat DownEx, que abans era desconegut pels experts. Fins ara, els atacs no s'han atribuït a un APT (Amenaça persistent avançada) o grup cibercriminal específic, però les proves apunten a la implicació d'actors amb seu a Rússia.
El primer incident denunciat relacionat amb el programari maliciós DownEx es va produir a Kazakhstan, on es va llançar un atac molt dirigit contra institucions governamentals estrangeres a finals de 2022. Més tard es va observar un altre atac a l'Afganistan. L'ús d'un document de temàtica diplomàtica per atraure les víctimes i l'enfocament dels atacants en la recollida de dades sensibles suggereixen fortament la implicació d'un grup patrocinat per l'estat. Tanmateix, encara no s'ha confirmat la identitat del vestit de pirateig. L'operació encara està en curs i es poden produir més atacs, adverteixen els investigadors de Bitdefender, que van publicar un informe sobre l'amenaça i la seva activitat d'atac associada.
La cadena d'atac de programari maliciós DownEx comença amb missatges Lure
Se sospita que els mitjans inicials d'intrusió per a la campanya d'espionatge van implicar un correu electrònic de pesca llança amb una càrrega útil amenaçadora. L'esmentada càrrega útil és un executable de carregador disfressat com un document de Microsoft Word. Un cop obert el fitxer adjunt, s'extreuen dos fitxers, un dels quals és un document fals que es mostra a la víctima com un esquí. Simultàniament, un fitxer d'aplicació HTML maliciós (.HTA) que conté codi VBScript s'executa en segon pla.
El fitxer HTA està dissenyat per establir contacte amb un servidor de comandament i control remot (C2, C&C) per obtenir la càrrega útil de la següent etapa. La naturalesa exacta d'aquesta eina de programari maliciós encara no s'ha revelat, però es creu que és una porta posterior encarregada d'establir la persistència al sistema trencat. Això suggereix que la campanya la porta a terme un actor d'amenaces altament organitzat i sofisticat, probablement un grup patrocinat per l'estat, centrat en l'exfiltració de dades d'institucions governamentals estrangeres.
Eines addicionals amenaçadores desplegades juntament amb el programari maliciós DownEx
S'han observat dues versions diferents del programari maliciós DownEx. La primera variant utilitza un VBScript intermedi per recollir i enviar fitxers a un servidor remot en forma d'arxiu ZIP. La segona variant es descarrega mitjançant un script VBE anomenat slmgr.vibe i utilitza VBScript en comptes de C++. Malgrat els diferents llenguatges de programació, la segona versió conserva les mateixes capacitats malicioses que la primera.
La segona variant de DownEx Malware utilitza una tècnica d'atac sense fitxers. Això vol dir que l'script DownEx només s'executa a la memòria i mai no toca el disc del dispositiu infectat. Aquesta tècnica posa de manifest la creixent sofisticació dels ciberatacs moderns i demostra que els ciberdelinqüents estan desenvolupant nous mètodes per fer que els seus atacs siguin més efectius i més difícils de detectar.
