Programari maliciós HTTPSnoop

Una onada d'atacs cibernètics dirigits als proveïdors de serveis de telecomunicacions a l'Orient Mitjà s'ha relacionat amb el desplegament de noves varietats de programari maliciós conegudes com HTTPSnoop i PipeSnoop. Aquestes eines amenaçadores permeten als actors d'amenaça obtenir el control remot dels dispositius compromesos.

El programari maliciós HTTPSnoop aprofita els controladors i dispositius del nucli HTTP de Windows per executar contingut específic en punts finals infectats mitjançant URL HTTP(S). D'altra banda, PipeSnoop està dissenyat per rebre i executar codis shell arbitraris a través d'una canonada amb nom.

Segons un informe emès per investigadors de ciberseguretat que van descobrir amb èxit aquesta campanya d'atac, tant HTTPSnoop com PipeSnoop s'atribueixen al mateix grup d'intrusió, identificat com a "ShroudedSnooper". Tanmateix, les dues amenaces tenen propòsits operatius diferents pel que fa al seu nivell d'infiltració.

El programari maliciós HTTPSnoop realitza accions especialitzades per als atacants

HTTPSnoop utilitza API de Windows de baix nivell per supervisar el trànsit HTTP(S) en un dispositiu infectat, dirigint-se específicament a URL predefinits. En detectar aquests URL, el programari maliciós procedeix a descodificar les dades entrants codificades en base64 d'ells i les executa com a shellcode a l'amfitrió compromès.

Aquest implant insegur, activat al sistema objectiu mitjançant el segrest de DLL, consta de dos components clau: primer, el codi de comandament de l'etapa 2, responsable de configurar un servidor web de porta posterior mitjançant trucades del nucli, i segon, la seva configuració.

HTTPSnoop estableix un bucle d'escolta, esperant pacientment les sol·licituds HTTP entrants i processa de manera eficient les dades vàlides a la seva arribada. En els casos en què les dades entrants no són vàlides, el programari maliciós retorna una redirecció HTTP 302.

Després de desxifrar el codi de comandament rebut, s'executa ràpidament i els resultats de l'execució es transmeten als atacants en forma de blocs de dades codificats en base64 XOR.

A més, aquest implant pren precaucions per evitar conflictes amb URL configurats prèviament al servidor, assegurant un bon funcionament sense enfrontaments inadvertits.

Els experts han descobert diverses variants de programari maliciós HTTPSnoop

Hi ha tres variants diferents d'HTTPSnoop observades fins ara, cadascuna utilitza patrons d'escolta d'URL únics. La primera variant supervisa les sol·licituds generals basades en URL HTTP, mentre que la segona variant se centra en URL que imiten el servei web de Microsoft Exchange. Mentrestant, la tercera variant s'adreça a URL que emulen les aplicacions de telefonia i LBS/OfficeTrack d'OfficeCore.

Aquestes variants es van descobrir l'abril de 2023 i, sobretot, la més recent té un nombre reduït d'URL que monitoritza, probablement millorant les seves capacitats de sigil.

En imitar els patrons d'URL legítims associats amb els serveis web de Microsoft Exchange i OfficeTrack, aquestes sol·licituds fraudulentes s'assemblen molt al trànsit benigne, cosa que fa que sigui molt difícil distingir-les de les sol·licituds legítimes.

El panorama en constant evolució del programari maliciós representa una amenaça formidable i persistent a la nostra era digital. El programari maliciós no és només una molèstia, sinó un adversari formidable capaç de causar estralls a persones, organitzacions i fins i tot nacions. La vigilància, l'educació i les mesures sòlides de ciberseguretat són les nostres millors defenses contra aquesta amenaça implacable. Mantenir-se informat i adoptar les millors pràctiques en seguretat en línia no és només una opció; és una necessitat per salvaguardar les nostres vides digitals i preservar la integritat del nostre món interconnectat.