CostaBricks

CostaBricks é um loader personalizado usado para entregar a versão de 32 bits do malware SombRAT Backdoor. Ambas as ferramentas fazem parte do arsenal de um grupo de hackers chamado CostaRicto, que opera como mercenário de aluguel. Para o CostaBricks, os hackers criaram uma implementação única de um mecanismo de máquina virtual responsável por executar um bytecode embutido que decodifica e injeta a carga final na memória. Esse mecanismo de máquina virtual é composto por objetos e classes C ++ e possui 20 instruções diferentes, cada uma com entre zero e três operandos. O objetivo deste método é aumentar a ofuscação das atividades ameaçadoras realizadas pela ameaça. Outras medidas anti-análise encontradas na ameaça incluem todo o código não ofuscado de um aplicativo legítimo de código aberto chamado Blink. Este código nunca é executado.

O bytecode usado pelo CostaBricks permaneceu idêntico nas diferentes amostras da ameaça que foram analisadas pelos especialistas em infosec no BlackBerry. Tem exatamente 1.800 linhas, mas a maioria delas são simplesmente fiapos que foram inseridos para fins de ofuscação. A programação real do bytecode é responsável por decodificar a carga de malware embutida, carregá-la na memória do sistema comprometido e, em seguida, executá-la. A carga útil é descriptografada por meio de um algoritmo simétrico personalizado com chaves codificadas que podem ser descritas como uma combinação de SHL/SHR/SUB/ADD/XOR.