Los expertos de Kaspersky descubrieron una campaña de malware dirigido. La actividad destaca por su innovador uso de los registros de eventos de Windows para el almacenamiento de malware, y por la impresionante variedad de técnicas de los atacantes.

Esta campaña utiliza una técnica única, ocultando malware «sin archivos» dentro de los registros de eventos de Windows. La infección inicial del sistema se lleva a cabo a través del módulo dropper de un archivo descargado por la víctima. El atacante utiliza una variedad de wrappers antidetección sin precedentes para que los troyanos sean aún menos visibles en la última etapa. Para evitar todavía más la detección, algunos módulos han sido firmados con un certificado digital.

Los atacantes emplearon dos tipos de troyanos para la última etapa con el fin de obtener un mayor acceso al sistema. Los servidores de Comando y Control (C&C) entregan de dos maneras: a través de HTTP y mediante el uso de named pipes. Algunas versiones de troyanos consiguieron utilizar un sistema de comandos que contenía docenas de comandos desde el C2.

La campaña también incluía herramientas comerciales de pentesting, concretamente SilentBreak y CobaltStrike, combinando así técnicas conocidas con descifradores personalizados. Asimismo, es la primera vez que se observa el uso de los registros de eventos de Windows para ocultar códigos Shell en el sistema.

«Fuimos testigos de una nueva técnica de malware dirigido que llamó nuestra atención. Para el ataque, el atacante guardó y luego ejecutó un shellcode cifrado a partir de los registros de eventos de Windows. Se trata de un enfoque que nunca habíamos visto antes y que pone de manifiesto la importancia de estar al tanto de las amenazas que, de otro modo, podrían pillarnos desprevenidos. Creemos que merece la pena añadir la técnica de los registros de eventos a la sección de ‘evasión de la defensa’ de la matriz MITRE en su parte de ‘ocultar artefactos. El uso de varias suites de pentesting comerciales tampoco es algo que se vea todos los días», afirma Denis Legezo, investigador principal de seguridad de Kaspersky.