El descargador DePriMon utiliza formas novedosas de infectar su Computer con malware de ColorLambert


Los ataques de malware en hospitales están en aumento
La industria del cuidado de la salud almacena parte de la información particular más wise que puede haber sobre las personas: los hackers lo saben y buscan explotar lo que ven como un objetivo fácil.

Se ha detectado un descargador de malware utilizando nuevos métodos de «Keep track of de puerto» que no se han detectado antes en campañas activas.

Apodado DePriMon, el descargador malicioso se utiliza para implementar malware utilizado por Lambert, también conocido como el grupo de amenaza persistente avanzada (APT) Longhorn, que se especializa en ataques contra compañías europeas y de Medio Oriente.

Kaspersky estima que Lambert ha estado activo desde menos 2008, mientras que Symantec redondea el año como más cercano a 2011.

Los actores de amenazas usan una variedad de vulnerabilidades, desde errores de día cero, incluyendo CVE-2014-4148 Windows aprovecha el malware de puerta trasera para infiltrarse en los sectores gubernamentales, financieros, de telecomunicaciones, energía, aviación, TI y educación, lo que provoca la creencia de que Lambert puede estar patrocinado por el estado.

Ver también: El nuevo ransomware Buran como servicio tienta a los delincuentes con licencias de descuento

En 2017 Symantec dijo que al menos 40 objetivos en 16 países han sido comprometidos por los atacantes.

La APT utiliza varios programas maliciosos, asignados diferentes colores por investigadores de ciberseguridad, para realizar reconocimientos, robar datos y mantener la persistencia.

Estos incluyen Black Lampert, un implante activo utilizado para conectarse a un servidor de comando y regulate (C2) para obtener instrucciones White Lampert, una puerta trasera pasiva basada en pink Blue Lampert, una carga útil de malware de segunda etapa Inexperienced Lampert, una versión anterior de la carga útil antes mencionada y Pink Lambert, un kit de herramientas que incluye un módulo que compromete USB y un orquestador.

El vector de ataque inicial de Lampert es desconocido. Sin embargo, el descubrimiento del malware junto con la nueva descarga de DePriMon es notable.

CNET: Facebook, la &#39vigilancia&#39 de Google amenaza los derechos humanos, dice Amnistía Internacional

ESET publicó los resultados de una investigación sobre el descargador en una entrada de blog el jueves. Según los investigadores de ciberseguridad, el código utiliza «muchas técnicas no tradicionales», incluido el registro de un nuevo keep an eye on de puerto local para lograr la persistencia.

El watch de puerto se llama «Watch de impresión predeterminado de Windows», que lleva el nombre del descargador, y se ha detectado en una empresa privada en Europa, junto con «docenas de computadoras» en Oriente Medio que también se vieron comprometidas por el malware Lambert.

DePriMon se descarga en la memoria y se ejecuta como una DLL utilizando técnicas reflectantes de DLL. Como el descargador nunca se almacena en el disco, esto puede reducir el riesgo de ser detectado.

El monitor de puerto está registrado con una clave y un valor, lo que requiere derechos de administrador. Para lograr esto, spoolsv.exe cargará la DLL al iniciar el sistema.

«Creemos que DePriMon es el primer ejemplo de malware que utiliza esta técnica descrita públicamente», dice ESET.

Luego se forja una ruta para la descarga y ejecución de las principales cargas útiles de malware. Esta ruta se encripta utilizando el sistema SSL / TLS y el canal seguro de Microsoft, inicializado con un socket de Windows y las siguientes sesiones SSPI. DePriMon también puede usar Schannel, dependiendo de la configuración del sistema de la víctima.

DePriMon puede comunicarse con su C2 a través de TLS. Los comandos y los datos de configuración se cifran con AES-256.

TechRepublic: El 82% de los ejecutivos de pymes esperan que los empleados pongan en riesgo los dispositivos comerciales con las compras navideñas

«Gracias a su diseño seguro, la configuración no se deja en la memoria sin cifrar», dicen los investigadores. «Cada vez que el descargador necesita usar algún elemento del archivo de configuración, descifra el archivo de configuración, recupera el miembro y vuelve a cifrar el archivo. Este diseño protege la función principal del malware, la comunicación C2, contra los análisis forenses de memoria».

«DePriMon es un descargador inusualmente avanzado cuyos desarrolladores han hecho un esfuerzo adicional para configurar la arquitectura y crear los componentes críticos», agregó ESET. «DePriMon es una herramienta potente, versatile y persistente diseñada para descargar una carga útil y ejecutarla, y para recopilar información básica sobre el sistema y su usuario en el camino».

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Resource link