Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Eines d'administració remota Campanya de programari maliciós de doble càrrega útil

Campanya de programari maliciós de doble càrrega útil

El Mezo el Eines d'administració remota, Adware
Traduir a:

Una campanya de programari maliciós recentment descoberta està atraient una atenció important dins de la comunitat de ciberseguretat per la seva capacitat de desplegar dues amenaces diferents simultàniament. S'utilitza un únic carregador ofuscat per implementar tant el RAT Gh0st com el CloverPlus al mateix sistema compromès.

Aquesta combinació és poc comuna i altament estratègica. Gh0st RAT permet un control remot complet sobre la màquina infectada, mentre que CloverPlus se centra en la manipulació de l'activitat del navegador, la injecció de components publicitaris i la generació d'ingressos a través de finestres emergents intrusives. El desplegament dual permet als actors d'amenaces mantenir un accés no autoritzat persistent mentre monetitzen la infecció en temps real.

Aquesta campanya destaca una tendència creixent cap al lliurament de càrregues múltiples, on els atacants maximitzen l'eficiència operativa i el retorn financer a partir d'un únic compromís.

Tàctiques d’ofuscació: ocultar la càrrega útil

El carregador central d'aquesta campanya està dissenyat per a la furtivitat. Integra dues càrregues útils xifrades dins de la seva secció de recursos, utilitzant tècniques d'ofuscació per evadir els mecanismes de detecció tradicionals.

L'execució comença amb el mòdul de programari publicitari CloverPlus, identificat com a AdWare.Win32.CloverPlus i associat a un executable anomenat wiseman.exe. Aquest component modifica la configuració d'inici del navegador i injecta anuncis emergents persistents.

A continuació, el carregador avalua la seva ruta d'execució. Si no opera des del directori %temp% del sistema, crea una còpia de si mateix allà abans de continuar. La següent etapa consisteix a desxifrar el mòdul client Gh0st RAT, que també està ocult com a recurs xifrat dins del binari de programari maliciós.

Un cop desxifrat, el programari maliciós assigna un nom de fitxer aleatori a la càrrega útil i l'emmagatzema en una carpeta amb un nom aleatori situat a l'arrel de la unitat C:\, cosa que complica encara més la detecció i l'anàlisi.

Vivint de la terra: eines de confiança, intencions malicioses

Per executar la càrrega útil desxifrada, el programari maliciós aprofita la utilitat legítima de Windows rundll32.exe. Aquest enfocament permet l'execució de codi maliciós sota l'aparença d'un procés de sistema de confiança, reduint significativament la probabilitat que s'activin les defenses de seguretat.

Un cop actiu, Gh0st RAT comença a crear perfils del sistema compromès recopilant identificadors únics com ara l'adreça MAC i el número de sèrie del disc dur. Aquestes dades s'utilitzen per registrar la víctima dins de la infraestructura de comandament i control de l'atacant, garantint un seguiment i una gestió precisos dels hosts infectats.

Mecanismes de persistència: garantir l’accés a llarg termini

Mantenir l'accés després de reiniciar el sistema és un objectiu clau d'aquesta campanya. Gh0st RAT aconsegueix la persistència a través de múltiples tècniques integrades en el sistema operatiu:

Modificació de la clau del registre d'execució de Windows per garantir l'execució automàtica a l'inici
Registre d'una DLL maliciosa dins la ruta del servei d'accés remot a SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip

Aquests mètodes atorguen al programari maliciós privilegis a nivell de SISTEMA sempre que s'inicia el servei associat, eliminant la necessitat de més interacció de l'usuari i reforçant el control a llarg termini.

Detecció i defensa: indicadors de compromís

L'impacte d'aquesta campanya és considerable tant per a particulars com per a organitzacions. Mentre que el component de programari publicitari interromp la funcionalitat del navegador i augmenta l'exposició a la publicitat maliciosa, el component RAT permet el robatori de dades, el registre de pulsacions de tecles, l'elusió de la seguretat i l'accés privilegiat persistent.

Els equips de seguretat han de mantenir-se alerta i controlar els següents indicadors de compromís:

  • Execució de rundll32.exe carregant DLL o extensions de fitxer no estàndard des de directoris inusuals o sospitosos
  • Activitat del procés originada a la carpeta %temp%.
  • Modificacions no autoritzades a les claus d'execució del registre o a les configuracions del servei RemoteAccess
  • Ús de retards basats en ping per evadir la detecció de sandbox
  • Patrons de trànsit DNS anormals i canvis inesperats al fitxer d'amfitrions del sistema

La monitorització proactiva i la resposta ràpida a aquests senyals són fonamentals per mitigar els riscos que planteja aquesta sofisticada campanya de programari maliciós de doble amenaça.

Tendència

Confirmar una nova actualització de seguretat i...

Phishing, Correu brossa
Els correus electrònics inesperats que exigeixen una acció urgent sempre s'han de tractar amb precaució. Els ciberdelinqüents sovint disfressen els missatges maliciosos de notificacions legítimes per explotar la confiança i provocar pànic. És essencial reconèixer que les estafes com els correus electrònics de "Confirma la nova actualització de seguretat i privadesa" no estan associades a cap...

Més vist

Carregant...