Se ha observado que los piratas informáticos disfrazan el troyano de acceso remoto PlugRAT como un depurador de Microsoft, para eludir las soluciones antivirus y comprometer los puntos finales objetivo.
Los expertos en seguridad cibernética de Trend Micro detectaron recientemente a un actor de amenazas no identificado que usaba x64dbg para entregar el troyano. x64dbg es una herramienta de depuración de código abierto, supuestamente bastante popular en la comunidad de desarrolladores. Por lo general, se utiliza para examinar el código en modo kernel y en modo usuario, los volcados de memoria o los registros de la CPU.
Sin embargo, aquí se aprovecha en un ataque conocido como carga lateral de DLL.
Para que el programa funcione correctamente, necesita un archivo .DLL específico. Si hay varios archivos DLL con el mismo nombre, primero ejecutará el que se encuentra en la misma carpeta que el archivo ejecutivo, y eso es lo que explotan los piratas informáticos. Al entregar un archivo DLL modificado junto con el programa, se aseguran de que el software legítimo termine activando el malware.
En este caso, el software lleva una firma digital válida que puede “confundir” algunas herramientas de seguridad, explicaron los investigadores. Eso permite a los actores de amenazas «volar por debajo del radar», mantener la persistencia, aumentar los privilegios y eludir las restricciones de ejecución de archivos.
«El descubrimiento y análisis del ataque de malware utilizando la herramienta de depuración de código abierto x32dbg.exe [the 32-bit debugger for x64dbg] nos muestra que la carga lateral de DLL todavía es utilizada por los actores de amenazas hoy en día porque es una forma efectiva de eludir las medidas de seguridad y obtener el control de un sistema de destino», el informe de Trend Micro (se abre en una pestaña nueva) lee
“Los atacantes continúan usando esta técnica ya que explota una confianza fundamental en las aplicaciones legítimas”, continúa el informe. «Esta técnica seguirá siendo viable para que los atacantes entreguen malware (se abre en una pestaña nueva) y obtenga acceso a información confidencial siempre que los sistemas y las aplicaciones continúen confiando y cargando bibliotecas dinámicas».
La mejor manera de protegerse contra tales amenazas es asegurarse de saber qué programas está ejecutando y de confiar en la persona que comparte el ejecutable. Trend Micro cree que los ataques de carga lateral seguirán siendo un vector de ataque válido en los próximos años, ya que explotan una «confianza fundamental en las aplicaciones legítimas».
“Esta técnica seguirá siendo viable para que los atacantes entreguen malware y obtengan acceso a información confidencial siempre que los sistemas y las aplicaciones continúen confiando y cargando bibliotecas dinámicas;” concluyeron.
Vía: El Registro (se abre en una pestaña nueva)