Ciberamenazas más peligrosas de 2021.Campaña A41APT, aplicaciones falsas de minería, Ransomware que cifra discos duros virtuales y Malware XCSSET

Campaña A41APT

La campaña A41APT se dirigió a múltiples industrias, incluidos los fabricantes japoneses y sus instalaciones en el extranjero. Los expertos creen con un alto grado de confianza que el grupo APT10 está detrás de esta campaña.

Uno de los programas maliciosos utilizados en esta campaña se llama Ecipekac (sus otros nombres son DESLoader, SigLoader y HEAVYHAND). Es un módulo de carga de múltiples etapas muy sofisticado que ofrece cargas de trabajo maliciosas como SodaMaster, P8RAT y FYAnti.

Este último, a su vez, carga QuasarRAT. Las operaciones y los implantes involucrados en la campaña se ocultaron con extraordinaria inteligencia, por lo que era casi imposible rastrear la actividad de los atacantes. El grupo detrás de esta campaña está tomando varias medidas para cubrir sus huellas y obstruir el análisis.

La mayoría de los delincuentes usaban malware sin archivos que los investigadores nunca habían visto antes. La característica más importante de Ecipekac es la capacidad de inyectar shellcode cifrado en archivos DLL firmados digitalmente mientras se mantiene la validez de esa firma.

Esta técnica permite que los implantes permanezcan fuera de la vista de las soluciones protectoras. Después de analizar las principales características de las puertas traseras P8RAT y SodaMaster, los expertos llegaron a la conclusión de que estos módulos se utilizan para descargar más malware, que aún no han podido encontrar.

Aplicaciones falsas de minería

Recientemente, los técnicos descubrieron una serie de aplicaciones falsas que entregan el minero de criptomonedas Monero a los ordenadores de los usuarios. Se propagan a través de sitios web maliciosos a los que la víctima puede acceder desde los motores de búsqueda.

Se cree que esta es una continuación de la campaña de verano informada por los expertos de Avast. En ese momento, los atacantes distribuyeron malware bajo la apariencia del instalador del antivirus Malwarebytes. En la última campaña, el malware se disfrazó de varias aplicaciones: los bloqueadores de anuncios AdShield y Netshield, así como el servicio OpenDNS.

Una vez que el usuario inicia el programa, cambia la configuración de DNS en el dispositivo para que todos los nombres de dominio se resuelvan a través de los servidores de los atacantes y, como resultado, los usuarios no pueden acceder a los sitios web de algunos proveedores de antivirus.

Luego, el malware comienza a actualizarse, descarga e inicia un cliente de torrents Transmission modificado, que informa la identificación del ordenador de la víctima y la información de instalación al servidor de C&C. Después de eso, descarga e instala el minero.

Desde febrero de 2021 se intentó instalar aplicaciones falsas en dispositivos de más de 7.000 usuarios. En el pico de la campaña actual, más de 2.500 usuarios por día fueron atacados.

Ransomware que cifra discos duros virtuales

Los creadores de ransomware aprovechan las vulnerabilidades de VMware ESXi para cifrar datos en discos duros virtuales. El hipervisor ESXi permite que varias máquinas virtuales almacenen datos en un solo servidor mediante el protocolo de capa de servicio (SLP).

La primera vulnerabilidad (CVE-2019-5544) se utiliza para llevar a cabo ataques de desbordamiento de montón. El segundo, Use-After-Free (CVE-2020-3992), está asociado al uso incorrecto de la memoria dinámica en el proceso del programa.

Después de obtener acceso a la red, los atacantes comienzan a explotar estas vulnerabilidades para crear solicitudes SLP maliciosas y comprometer el almacén de datos. El ransomware RansomExx explota las vulnerabilidades.

Según algunos informes, la facción Darkside está adoptando un enfoque similar; y los atacantes detrás del troyano BabuLocker dejaron en claro que no sería difícil para ellos cifrar ESXi. Desarrollo de macOS A fines del año pasado, Apple anunció dispositivos impulsados por el chip M1, que desarrolló para reemplazar a Intel.

El Apple M1, un primo directo de los procesadores utilizados en el iPhone y el iPad, unirá el software de Apple en una sola arquitectura. Apenas unos meses después del lanzamiento de las primeras computadoras Apple M1, los desarrolladores de malware ya han recopilado su código con la nueva arquitectura en mente.

Malware XCSSET

Entre ellos se encontraban los creadores del malware XCSSET, que se detectó por primera vez el año pasado. Se utiliza para atacar a los desarrolladores en macOS: se inyecta código malicioso en los proyectos IDE de Xcode en la computadora de la víctima.

Este código malicioso se ejecuta luego al crear archivos de proyecto en Xcode. Los módulos XCSSET leen y recuperan cookies del navegador Safari, inyectan JavaScript malicioso en páginas web, roban fa archivos e información de aplicaciones como Notes, WeChat, Skype, Telegram y otras, y cifran archivos.

Entre las muestras se encuentran programas compilados específicamente para chips Apple Silicon. Silver Sparrow es otra nueva amenaza para los chips M1. Este programa permite a los desarrolladores de malware implementar un método completamente nuevo para infectar software: en lugar de inyectar una carga maliciosa en los scripts que se ejecutan antes o después de instalar el software, lo ocultan en el archivo XML de la distribución.

El malware utiliza una API de JavaScript para ejecutar comandos bash y cargar un archivo de configuración JSON. Obtiene la URL del campo downloadURL para realizar la siguiente descarga. Para la ejecución continua de código malicioso, se creó un agente de lanzamiento especial.

Se puede ejecutar una carga maliciosa en JavaScript sin importar cuál sea la arquitectura del chip, y el análisis del archivo por lotes mostró claramente que puede funcionar tanto con Intel como con M1. La mayor parte del malware utilizado para atacar macOS es adware.

Sus autores, incluidos los creadores de los programas de las familias Pirrit y Bnodlero, ya están ultimando su código teniendo en cuenta el soporte del nuevo chip M1. Los ciberdelincuentes no solo agregan soporte para nuevas plataformas, a veces usan nuevos lenguajes de programación para desarrollar sus propios ‘productos’. Recientemente, los creadores de programas publicitarios para macOS se han interesado activamente en nuevos lenguajes, aparentemente con la esperanza de que su código dificulte las cosas para los analistas de virus que rara vez tratan con nuevos lenguajes de programación o no trabajan con ellos en absoluto. Ya se han detectado varias muestras escritas en Go, y recientemente los ciberdelincuentes han adoptado Rust.