Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Porta del darrere DRILLAPP

Porta del darrere DRILLAPP

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

Els analistes de ciberseguretat han identificat una nova campanya d'amenaces dirigida a organitzacions ucraïneses, amb indicadors que suggereixen la participació d'actors vinculats a Rússia. L'activitat, observada per primera vegada el febrer de 2026, mostra solapaments tècnics amb una operació anterior atribuïda al grup conegut com a Laundry Bear (també rastrejat com a UAC-0190 o Void Blizzard). Aquella campanya anterior tenia com a objectiu les forces de defensa ucraïneses i va desplegar una família de programari maliciós anomenada PLUGGYAPE.

L'última operació introdueix una porta del darrere basada en JavaScript que s'executa a través del navegador Microsoft Edge. El programari maliciós, anomenat pels investigadors com a DRILLAPP, està dissenyat per explotar les capacitats del navegador per carregar i descarregar fitxers, accedir al micròfon i capturar imatges de la càmera web de la víctima.

Els atacants es basen en tàctiques d'enginyeria social per distribuir els components maliciosos. S'utilitzen esquers que fan referència a assumptes legals o causes benèfiques per animar les víctimes a obrir fitxers maliciosos i iniciar la cadena d'infecció.

Esquers enganyosos i mètode d’infecció inicial

La campanya s'ha observat en dues variants diferents. La primera versió, detectada a principis de febrer de 2026, utilitza un fitxer de drecera de Windows (LNK) com a mecanisme de lliurament inicial. Quan s'executa, la drecera crea un fitxer d'aplicació HTML (HTA) dins del directori temporal del sistema. Aquest fitxer HTA recupera un script remot allotjat al servei legítim de compartició d'enganxament Pastefy.

Per mantenir la persistència en sistemes compromesos, els atacants copien el fitxer LNK maliciós a la carpeta d'inici de Windows, garantint que s'executi automàticament després de cada reinici del sistema. Un cop comença la cadena d'infecció, es presenten a les víctimes URL que contenen temes esquer, incloent-hi instruccions relacionades amb la instal·lació de Starlink o referències a l'organització benèfica ucraïnesa Come Back Alive Foundation.

El fitxer HTA finalment s'inicia a través del navegador Microsoft Edge que funciona en mode sense capçalera, cosa que permet al navegador executar l'script ofuscat recuperat de Pastefy sense mostrar una finestra estàndard del navegador.

Explotació dels paràmetres del navegador per a l’accés ocult

Per maximitzar les seves capacitats, el procés maliciós inicia el navegador Edge amb múltiples paràmetres que debiliten les proteccions de seguretat integrades i permeten l'accés no autoritzat a recursos sensibles del sistema.

Aquests paràmetres permeten que la instància del navegador eludi les mesures de seguretat típiques i realitzi accions normalment restringides pels models de seguretat del navegador. La configuració permet que el programari maliciós accedeixi a fitxers locals, capturi transmissions d'àudio i vídeo i registri l'activitat de la pantalla sense necessitat de cap interacció per part de la víctima.

Els paràmetres clau del navegador utilitzats en l'atac inclouen:

--sense zona de proves

--desactiva-seguretat-web

--permet-accés-a-fitxers-des-fitxers

--utilitza-interfície-d'usuari-falsa-per-transmissió-multimèdia

--selecció automàtica-font-de-captura-de-pantalla=true

--desactiva-seguretat-multimèdia-d'usuari

En fer un ús abusiu d'aquesta configuració, el navegador esdevé un component funcional de la infraestructura de programari maliciós en lloc de ser simplement una plataforma de distribució.

Funcions de vigilància i porta del darrere basades en navegador

L'artefacte DRILLAPP funciona com una porta del darrere lleugera però versàtil. Un cop activa, permet als atacants interactuar amb el sistema infectat a través de les funcions habilitades pel navegador, transformant efectivament el navegador en una eina de vigilància remota.

El programari maliciós és capaç de realitzar diverses operacions que permeten un monitoratge exhaustiu i la recopilació de dades de dispositius compromesos.

Les capacitats bàsiques inclouen:

  • Pujar i descarregar fitxers des del sistema local
  • Captura d'àudio a través del micròfon del dispositiu
  • Gravació de vídeo a través de la càmera web
  • Fer captures de pantalla de la pantalla del sistema
  • Generació d'una empremta digital de dispositiu única mitjançant tècniques d'empremta digital de llenç

Durant la seva primera execució, el programari maliciós genera una empremta digital del dispositiu i utilitza Pastefy com a "resolutor dead-drop" per recuperar una adreça WebSocket utilitzada per a les comunicacions de comandament i control. Aquesta arquitectura permet als atacants redirigir dinàmicament els sistemes infectats a la seva infraestructura operativa.

La porta del darrere també transmet l'empremta digital del dispositiu juntament amb la ubicació geogràfica inferida de la víctima. La ubicació es determina a partir del fus horari del sistema i es compara amb una llista predefinida que inclou el Regne Unit, Rússia, Alemanya, França, Xina, Japó, Estats Units, Brasil, Índia, Ucraïna, Canadà, Austràlia, Itàlia, Espanya i Polònia. Si el fus horari no coincideix amb cap d'aquestes regions, el programari maliciós identifica per defecte el sistema com a ubicat als Estats Units.

Tècniques en evolució a la segona variant de campanya

Una segona versió de la campanya va aparèixer a finals de febrer de 2026, introduint diverses modificacions tot mantenint l'estructura general d'atac. En lloc de confiar en fitxers de dreceres LNK, la variant actualitzada utilitza mòduls del Tauler de control de Windows com a mecanisme de lliurament inicial.

El component de porta del darrere també ha rebut millores funcionals. Aquestes millores permeten al programari maliciós realitzar operacions més profundes del sistema de fitxers i millorar la seva capacitat per exfiltrar dades d'entorns infectats.

Entre les millores destacables hi ha l'enumeració recursiva de fitxers, la càrrega de fitxers per lots i la possibilitat de descarregar fitxers arbitraris directament al sistema compromès.

Evitant les restriccions de JavaScript amb les eines de depuració de Chromium

Les restriccions de seguretat estàndard de JavaScript normalment impedeixen que el codi remot descarregui fitxers directament al sistema d'una víctima. Per evitar aquesta limitació, els atacants aprofiten el protocol Chrome DevTools (CDP), una interfície de depuració interna que utilitzen els navegadors basats en Chromium.

Només es pot accedir al CDP quan s'inicia el navegador amb el paràmetre --remote-debugging-port habilitat. En activar aquesta funcionalitat de depuració, els atacants obtenen la capacitat de controlar el comportament del navegador mitjançant la programació i evitar les restriccions típiques del costat del client, permetent descàrregues remotes de fitxers que d'altra manera es bloquejarien.

Indicadors de desenvolupament inicial i infraestructura experimental

L'evidència suggereix que el programari maliciós encara està en desenvolupament actiu. Una variant primerenca descoberta el 28 de gener de 2026 es comunicava exclusivament amb el domini "gnome.com" en lloc de recuperar la seva càrrega útil principal de Pastefy.

Aquest comportament indica que els actors amenaçadors encara poden estar refinant tant la seva infraestructura com les capacitats operatives de la porta del darrere.

L’abús del navegador com a estratègia d’evasió emergent

Un dels aspectes més significatius de la campanya és l'ús deliberat d'un navegador web com a entorn d'execució principal per a la porta del darrere. Aquest enfocament destaca una tendència creixent en què els atacants reutilitzen programari legítim per evadir la detecció.

Els navegadors ofereixen diversos avantatges per a les operacions malicioses. Són processos àmpliament utilitzats i normalment es consideren benignes, cosa que redueix la probabilitat de sospita immediata. A més, els paràmetres de depuració del navegador poden desbloquejar funcions potents que permeten accions que d'altra manera serien restringides, com ara descàrregues remotes de fitxers i un accés extensiu al sistema.

A més, els navegadors mantenen permisos legítims per interactuar amb recursos de maquinari sensibles, com ara micròfons, càmeres i mecanismes de captura de pantalla, cosa que permet als atacants dur a terme activitats de vigilància mentre es barregen amb el comportament normal del sistema.

Tendència

Més vist

Carregant...