Los investigadores de ciberseguridad han sacado las envolturas de un ataque cibernético inusual que aprovechó el malware con encabezados corruptos de DOS y PE, según nuevos hallazgos de Fortinet.
Los encabezados DOS (Sistema eficaz de disco) y PE (ejecutable portátil) son partes esenciales de un archivo PE de Windows, que proporcionan información sobre el ejecutable.
Mientras que el encabezado DOS hace que el archivo ejecutable sea compatible con MS-DOS y le permite ser obligado como un ejecutable válido por el sistema eficaz, el encabezado PE contiene los metadatos y la información necesarios para que Windows cargue y ejecute el software.
“Descubrimos malware que se había ejecutado en una máquina comprometida durante varias semanas”, dijeron los investigadores Xiaopeng Zhang y John Simmons del equipo de respuesta de incidentes de Fortiguard en un referencia compartido con Hacker News. “El actor de amenaza había ejecutado un juego de scripts y PowerShell para ejecutar el malware en un proceso de Windows”.
Fortinet dijo que si proporcionadamente no pudo extraer el malware en sí, adquirió un volcado de memoria del proceso de malware en ejecución y un volcado de memoria completo de la máquina comprometida. Actualmente no se sabe cómo se distribuye el malware o cómo se extienden los ataques que lo distribuyen.
El malware, que se ejecuta interiormente de un proceso dllhost.exe, es un archivo PE de 64 bits con encabezados Corruptos de DOS y PE en un intento por desafiar los esfuerzos de observación y rehacer la carga útil de la memoria.
A pesar de estos obstáculos, la compañía de seguridad cibernética señaló por otra parte que fue capaz de desmontar el malware arrojado interiormente de una configuración regional controlada replicando el entorno del sistema comprometido a posteriori de “múltiples pruebas, errores y correcciones repetidas”.
El malware, una vez ejecutado, descifra la información del dominio de comando y control (C2) almacenada en la memoria y luego establece el contacto con el servidor (“Rushpapers (.) Com”) en una amenaza recién creada.
“Posteriormente de propalar el hilo, el hilo principal ingresa a un estado de sueño hasta que el hilo de comunicación completa su ejecución”, dijeron los investigadores. “El malware se comunica con el servidor C2 sobre el protocolo TLS”.
Un observación posterior ha determinado que el malware es un troyano de comunicación remoto (rata) con capacidades para capturar capturas de pantalla; enumerar y manipular los servicios del sistema en el host comprometido; e incluso representar como un servidor para esperar conexiones entrantes de “cliente”.
“Implementa una casa de socket de múltiples subprocesos: cada vez que un nuevo cliente (atacante) se conecta, el malware genera un nuevo hilo para manejar la comunicación”, dijo Fortinet. “Este diseño permite sesiones concurrentes y admite interacciones más complejas”.
“Al tratar en este modo, el malware convierte efectivamente el sistema comprometido en una plataforma de comunicación remoto, lo que permite al atacante propalar más ataques o realizar varias acciones en nombre de la víctima”.
