Después de haber descubierto sus secretos el mes pasado en un informe expuesto de Microsoft, los operadores del malware sLoad han puesto en circulación una versión 2. renovada a principios de este mes.
Esta nueva versión de sLoad (también conocida como Starslord) no cambia mucho, pero el hecho de que la pandilla de sLoad haya enviado una nueva versión en menos de un mes después de exponer sus operaciones muestra la velocidad a la que los autores de malware a menudo operan.
La operación de malware sLoad
El malware sLoad no es algo nuevo. Es una cepa de malware que ha sido alrededor por años. El malware es lo que alguien llamaría un «descargador de malware» o «dropper de malware».
El propósito principal de sLoad es infectar Pc con Windows, recopilar información sobre el sistema que infectaron, enviar esta información a un servidor de comando y manage (C&C) y luego esperar las instrucciones para descargar e instalar una segunda carga útil de malware.
El malware existe para servir como un sistema de entrega de cepas de malware más potentes y para ayudar a la pandilla sLoad a ganar dinero al proporcionar espacio de pago por instalación para otras operaciones cibercriminales (por ejemplo como la banda de troyanos bancarios Ramnit)
Los descargadores de malware como sLoad son una moneda de diez centavos por docena. Sin embargo, según Microsoft, sLoad fue uno de los pocos descargadores de malware que se destacó debido a un nivel innecesario de sofisticación y su uso de técnicas no estándar.
La obsesión de sLoad BITS
Según un informe de Microsoft de diciembre de 2019, sLoad se había convertido en una de las pocas cepas de malware que portaba todos sus sistemas de comunicaciones host-servidor al servicio Home windows BITS.
Para aquellos que no están familiarizados con el término, Windows BITS es el sistema predeterminado a través del cual Microsoft envía actualizaciones de Home windows a usuarios de todo el mundo. El servicio BITS funciona detectando cuándo el usuario no está utilizando su conexión de pink y utilizando este tiempo de inactividad para descargar actualizaciones de Home windows.
Pero el servicio BITS no está completamente reservado para el proceso de actualización de Windows. Otras aplicaciones pueden acceder a BITS y usarlo para programar tareas y operaciones de purple que se realizarán cuando la conexión de pink de la computadora quede inactiva.
Los autores de sLoad parecen ser algunos de los mayores admiradores de este servicio. Microsoft dice que la pila de pink completa del malware se configuró para funcionar a través del servicio BITS de Home windows de un host infectado.
El malware configuraría tareas programadas de BITS que se ejecutarían a intervalos regulares. Estas tareas se usarían para hablar con su servidor C&C, descargar cargas secundarias de malware e incluso enviar datos de un host infectado al servidor C&C (sLoad v1. incluía la capacidad de tomar capturas de pantalla de un host infectado).
Mientras que otro malware, como Gain32 / StealthFalcon, Zlob.Q, UBoat RAT, Rustock y Linkoptimizer – también usó BITS, sLoad se basó en él para casi todas las comunicaciones, por lo que es una entrada única en el panorama del malware.
Además, además de usar comunicaciones BITS silenciosas, sLoad también se basó en gran medida en el lenguaje de secuencias de comandos PowerShell, que utilizaba para admitir un modo de «ejecución sin archivos» en el que se ejecutaba completamente dentro de la RAM, sin colocar artefactos en el disco.
La necesidad de cambiar el modus operandi
El informe de Microsoft del mes pasado expuso las capacidades de sLoad y aumentó la conciencia entre los proveedores de ciberseguridad sobre el modus operandi del malware.
Las exposiciones como estas son peligrosas para las pandillas de malware, ya que podrían significar que sus cargas maliciosas se detectan con mayor frecuencia. En la mayoría de los casos, la mayoría de las pandillas de malware actualizan o modifican las operaciones, con la esperanza de estar un paso por delante de los proveedores de ciberseguridad.
La pandilla sLoad hizo exactamente esto. En unas pocas semanas, renovaron su código y cambiaron las cosas, enviando un nuevo sLoad v2. a partir de este año.
Sin embargo, si la pandilla sLoad esperaba estar un paso por delante de Microsoft, no tuvieron éxito, como publicó la compañía. otra exposición hoy detallando la nueva v2. en una profundidad very similar a la v1. del mes pasado.
Según Sujit Magar, analista de malware que forma parte del equipo de investigación ATP de Microsoft Defender, sLoad 2. se ha mantenido en gran medida igual, sigue utilizando BITS exclusivamente para todas las operaciones de red, sigue confiando en los scripts de PowerShell para la ejecución sin archivos y sigue trabajando como descargador de malware para otros grupos criminales.
Lo único que cambió fue el uso de scripts WSF en lugar de scripts VB durante el proceso de infección, la adición de controles para detectar si los analistas de malware están mirando el código y el lanzamiento de un nuevo sistema que rastrea las etapas de una infección sLoad .
Imagen: Microsoft
De estas tres nuevas incorporaciones, la última es la más novedosa, no se ve en otras cepas de malware. Este nuevo mecanismo funciona agregando un pequeño valor numérico al remaining de un trabajo BITS que se comunica con el servidor C&C.
El valor numérico le dice al equipo de sLoad la etapa de una infección de sLoad. El propósito de esta función puede variar. Magar cree que esto podría usarse para organizar los hosts sLoad en subgrupos y luego enviar comandos a hosts específicos infectados con sLoad.
Otro propósito podría ser que esta característica se agregara con fines de depuración, en caso de que la nueva versión de sLoad se bloquee o se detenga en una etapa en distinct, permitiendo que el equipo de sLoad envíe comandos a las infecciones de sLoad bloqueadas y repare cualquier error.
De cualquier manera, Microsoft parece estar al tanto de las actualizaciones recientes de sLoad, y su último informe técnico debería ayudar a otros proveedores a mantenerse al día con la detección de esta nueva versión también.
