El equipo de inteligencia cibernética de Walmart ha informado de que se ha descubierto una puerta trasera PowerShell desconocida junto con una nueva variante del malware Zloader/SilentNight. La puerta trasera PowerShell se ha construido para proporcionar a los actores de amenazas un mayor acceso a través de la actividad de reconocimiento y para implementar otras muestras de malware, incluido Zloader. La puerta trasera también utiliza sofisticadas técnicas de ofuscación. Se utilizó potencialmente junto con la nueva variante de Zloader, dijeron los investigadores. No hay indicios de que la combinación de malware estuviera dirigida a Walmart. El equipo de inteligencia cibernética del gigante minorista reveló que hizo el descubrimiento mientras investigaba de forma proactiva nuevas amenazas. «El actor de amenazas involucrado tiene vínculos con Zloader/SilentNight, que CISA ha vinculado a Black Basta públicamente, por lo que el objetivo sería realizar actividades de violación y rescate», dijo un portavoz de Walmart a Infosecurity. Zloader comenzó como un troyano bancario, pero ha experimentado un desarrollo significativo en los últimos años, añadiendo nuevas funciones. El malware se ha vinculado a varios grupos rusos de ransomware como servicio a lo largo de los años, incluidos Ryuk, DarkSide y Black Basta. Los atacantes se centran en la ofuscación Walmart dijo a Infosecurity que la puerta trasera PowerShell desconocida tiene cierta superposición con un malware PowerShell observado anteriormente llamado PowerDash, en particular la forma en que ambos construyen los datos del sistema para enviarlos a la infraestructura de comando y control (C2) y cómo usan las mismas técnicas de ofuscación para ocultar los componentes más importantes de la puerta trasera. PowerDash se descubrió en 2023, tiene la funcionalidad de recopilar información sobre el sistema comprometido, reenviarla a los servidores C2 controlados por los atacantes y esperar más comandos. El equipo de inteligencia cibernética de Walmart señaló que la puerta trasera PowerShell recién descubierta tiene muy pocas muestras disponibles en el servicio de detección de VirusTotal, lo que dificulta la detección. «Por cierto, las muestras no parecen detonar muy bien en la mayoría de los sandboxes, lo que también las ayuda a pasar desapercibidas durante más tiempo», agregó el portavoz. Walmart también observó que la configuración de la puerta trasera encaja en una tendencia más amplia de cambio a lenguajes de scripting para puertas traseras por parte de algunos de los actores de amenazas más avanzados. “El consejo clave sería verificar las detecciones pivotantes internas, como las cadenas codificadas comunes que los actores de amenazas y el malware usan para recopilar información sobre la organización infectada”, comentó el portavoz. Cómo funciona la puerta trasera desconocida de PowerShell Los investigadores comenzaron analizando el siguiente archivo de PowerShell: Compilation Timestamp 2023-05-29 16:24:50 UTC MD5: 83aa432c43f01541e4f1e2f995940e69 SHA-1: 931b6fd3e7ee5631fbc583640805809d9f2acc58 SHA-256: 82f33adfecd67735874cdc9c2bfd27d4b5b904c828d861544c249798a3e65e7e Luego descubrieron dos archivos más que coinciden con las mismas características, que están empaquetados en .NET por AgilDotNet: Compilation Timestamp 2023-05-30 10:31:17 UTC MD5: 41563d1f34b704728988a53833577076 SHA-1: 72a572ce8247f80946e71f637c3403228543d9a3 SHA-256: 66a69d992a82681ee1d971cc2b810dd4b58c3cfd8b4506b3d62fe1e7421fb90b Marca de tiempo de compilación 2023-05-30 10:31:14 UTC MD5: e447362fb2686062a3dfc921c10dd6c7 SHA-1:544599ef72cbd97fe50e4169c8401270ff3b917b SHA-256: b513c6940ed32766e1ac544fc547b1cb53bc95eced5b5bcc140d7c6dce377afb Después de analizar el binario, el equipo descomprimió y descifró la funcionalidad de la puerta trasera. Esto descubrió un nombre de archivo codificado de forma rígida dentro del script de PowerShell. Leer ahora: El malware de PowerShell «PowerDrop» apunta a la industria aeroespacial estadounidense Se realizan comprobaciones en el script de PowerShell. Si fallan, el malware se moverá a sí mismo y desinstalará todos los datos anteriores. Si las comprobaciones pasan, configurará una serie de variables en el script. Esto incluye escribir un descargador de VB en el disco junto con el archivo ejecutable. El descargador contiene una URL codificada en base64 doble que se descifra para revelar el sitio del descargador. Después, ejecuta un comando curl codificado, que descargará y ejecutará archivos desde la URL codificada. Se realiza una verificación si ya se está ejecutando antes de ejecutar el comando. Las tareas se instalan según un nombre codificado con un GUID aleatorio. En este punto, el script configura una clave de ejecución y realiza una verificación de administración y conectividad a Internet. El equipo de Walmart encontró secciones de código «muy ofuscadas» dentro del script y pudo extraer los fragmentos de código y realizar un análisis de ellos. El primer fragmento de código fue una verificación anti-máquina virtual (VM), utilizada para frustrar los intentos de análisis. El siguiente bloque involucró la construcción de la información que el bot enviará al C2 junto con la respuesta a los comandos emitidos. El cifrado se realiza utilizando AES en modo CBC. Esto permite realizar un reconocimiento, recopilar información adicional de la máquina y codificar todos los datos que se enviarán al C2 durante su ejecución inicial. El informe de amenazas cibernéticas de mitad de año de SonicWall de 2024 reveló que más del 90 % de las familias de malware utilizan PowerShell (una herramienta legítima de automatización de Windows utilizada por los desarrolladores). Los scripts de PowerShell se utilizan para diversas tareas maliciosas, como evadir la detección y descargar malware adicional.