Parece que ni siquiera el icónico logo de Windows está a salvo del malware (se abre en una pestaña nueva) más, ya que algunos ciberdelincuentes lograron ocultar con éxito el código malicioso en su interior.
Los expertos en seguridad cibernética de Symantec afirman haber detectado una de esas campañas utilizando un proceso de ocultación de código malicioso en imágenes inofensivas, también conocido como esteganografía.
Por lo general, se hace para evitar la detección por parte de los programas antivirus, ya que tales soluciones rara vez detectan las imágenes como maliciosas.
Persiguiendo a los gobiernos
En este caso particular, el grupo involucrado en ataques de esteganografía se llama Witchetty, un actor de amenazas conocido supuestamente fuertemente vinculado al actor patrocinado por el estado chino Cicada (también conocido como APT10), y también considerado parte de la organización TA410 que se ha dirigido a los proveedores de energía de EE. UU. en el pasado.
El grupo inició su última campaña en febrero de 2022, apuntando al menos a dos gobiernos en el Medio Oriente.
Además, supuestamente sigue activo un ataque contra una bolsa de valores en África. Witchetty utilizó ataques de esteganografía para ocultar una puerta trasera cifrada con XOR, que estaba alojada en un servicio en la nube, lo que minimizaba sus posibilidades de detección. Para colocar webshells en puntos finales vulnerables (se abre en una pestaña nueva)los atacantes aprovecharon las vulnerabilidades conocidas de Microsoft Exchange ProxyShell para el acceso inicial: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 y CVE-2021-27065.
«Ocultar la carga útil de esta manera permitió a los atacantes alojarla en un servicio gratuito y confiable», dijo Symantec. «Es mucho menos probable que las descargas desde hosts confiables como GitHub generen señales de alerta que las descargas desde un servidor de comando y control (C&C) controlado por un atacante».
La puerta trasera cifrada con XOR permite a los actores de amenazas hacer una serie de cosas, incluida la manipulación de archivos y carpetas, ejecutar y finalizar procesos, modificar el Registro de Windows, descargar malware adicional, robar documentos y convertir el punto final comprometido en un servidor C2. .
La última vez que escuchamos sobre Cicada fue en abril de 2022, cuando los investigadores informaron que el grupo había abusado del popular reproductor multimedia VLC para distribuir malware y espiar a las agencias gubernamentales y organizaciones adyacentes ubicadas en los EE. UU., Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia.
Vía: BleepingComputer (se abre en una pestaña nueva)