30 de agosto de 2024Ravie LakshmananMalware / Seguridad de redes Los investigadores de ciberseguridad han revelado una nueva campaña que potencialmente se dirige a los usuarios de Oriente Medio a través de un malware que se disfraza de herramienta de red privada virtual (VPN) GlobalProtect de Palo Alto Networks. «El malware puede ejecutar comandos remotos de PowerShell, descargar y exfiltrar archivos, cifrar las comunicaciones y eludir las soluciones sandbox, lo que representa una amenaza importante para las organizaciones objetivo», dijo el investigador de Trend Micro Mohamed Fahmy en un informe técnico. Se ha observado que la sofisticada muestra de malware emplea un proceso de dos etapas e implica la configuración de conexiones a una infraestructura de comando y control (C2) que pretende ser un portal VPN de la empresa, lo que permite a los actores de amenazas operar libremente sin activar ninguna alarma. El vector de intrusión inicial de la campaña se desconoce actualmente, aunque se sospecha que implica el uso de técnicas de phishing para engañar a los usuarios y hacerles creer que están instalando el agente GlobalProtect. La actividad no se ha atribuido a un actor o grupo de amenazas específico. El punto de partida es un binario setup.exe que implementa el componente de puerta trasera principal llamado GlobalProtect.exe, que, cuando se instala, inicia un proceso de señalización que alerta a los operadores sobre el progreso. El ejecutable de la primera etapa también es responsable de colocar dos archivos de configuración adicionales (RTime.conf y ApProcessId.conf) que se utilizan para exfiltrar información del sistema a un servidor C2 (94.131.108).[.]78), incluida la dirección IP de la víctima, la información del sistema operativo, el nombre de usuario, el nombre de la máquina y la secuencia de tiempo de suspensión. «El malware implementa una técnica de evasión para eludir el análisis de comportamiento y las soluciones sandbox comprobando la ruta del archivo de proceso y el archivo específico antes de ejecutar el bloque de código principal», señaló Fahmy. La puerta trasera sirve como conducto para cargar archivos, descargar cargas útiles de la siguiente etapa y ejecutar comandos de PowerShell. La señalización al servidor C2 se realiza mediante el proyecto de código abierto Interactsh. «El malware se dirige a una URL recién registrada, ‘sharjahconnect’ (probablemente haciendo referencia al emirato de Sharjah en los Emiratos Árabes Unidos), diseñada para parecerse a un portal VPN legítimo para una empresa con sede en los Emiratos Árabes Unidos», dijo Fahmy. «Esta táctica está diseñada para permitir que las actividades maliciosas del malware se mezclen con el tráfico de red regional esperado y mejoren sus características de evasión». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.