Los investigadores de ciberseguridad han sacado las envolturas de un ataque cibernético inusual que aprovechó el malware con encabezados corruptos de DOS y PE, según nuevos hallazgos de Fortinet.
Los encabezados DOS (Sistema operativo de disco) y PE (ejecutable portátil) son partes esenciales de un archivo PE de Windows, que proporcionan información sobre el ejecutable.
Mientras que el encabezado DOS hace que el archivo ejecutable sea compatible con MS-DOS y le permite ser reconocido como un ejecutable válido por el sistema operativo, el encabezado PE contiene los metadatos y la información necesarios para que Windows cargue y ejecute el programa.
«Descubrimos malware que se había ejecutado en una máquina comprometida durante varias semanas», dijeron los investigadores Xiaopeng Zhang y John Simmons del equipo de respuesta de incidentes de Fortiguard en un informe compartido con Hacker News. «El actor de amenaza había ejecutado un lote de scripts y PowerShell para ejecutar el malware en un proceso de Windows».
Fortinet dijo que si bien no pudo extraer el malware en sí, adquirió un volcado de memoria del proceso de malware en ejecución y un volcado de memoria completo de la máquina comprometida. Actualmente no se sabe cómo se distribuye el malware o cómo se extienden los ataques que lo distribuyen.
El malware, que se ejecuta dentro de un proceso dllhost.exe, es un archivo PE de 64 bits con encabezados Corruptos de DOS y PE en un intento por desafiar los esfuerzos de análisis y reconstruir la carga útil de la memoria.
A pesar de estos obstáculos, la compañía de seguridad cibernética señaló además que fue capaz de desmontar el malware arrojado dentro de una configuración local controlada replicando el entorno del sistema comprometido después de «múltiples pruebas, errores y correcciones repetidas».
El malware, una vez ejecutado, descifra la información del dominio de comando y control (C2) almacenada en la memoria y luego establece el contacto con el servidor («Rushpapers (.) Com») en una amenaza recién creada.
«Después de lanzar el hilo, el hilo principal ingresa a un estado de sueño hasta que el hilo de comunicación completa su ejecución», dijeron los investigadores. «El malware se comunica con el servidor C2 sobre el protocolo TLS».
Un análisis posterior ha determinado que el malware es un troyano de acceso remoto (rata) con capacidades para capturar capturas de pantalla; enumerar y manipular los servicios del sistema en el host comprometido; e incluso actuar como un servidor para esperar conexiones entrantes de «cliente».
«Implementa una arquitectura de socket de múltiples subprocesos: cada vez que un nuevo cliente (atacante) se conecta, el malware genera un nuevo hilo para manejar la comunicación», dijo Fortinet. «Este diseño permite sesiones concurrentes y admite interacciones más complejas».
«Al operar en este modo, el malware convierte efectivamente el sistema comprometido en una plataforma de acceso remoto, lo que permite al atacante lanzar más ataques o realizar varias acciones en nombre de la víctima».