Investigadores de ciberseguridad han revelado detalles de un marco de puerta trasera sigiloso basado en Python llamado PUERTA#PROFUNDA que viene con capacidades para establecer acceso persistente y recopilar una amplia gama de información confidencial de hosts comprometidos.
«La cadena de intrusión comienza con la ejecución de un script por lotes (‘install_obf.bat’) que desactiva los controles de seguridad de Windows, extrae dinámicamente una carga útil de Python integrada (‘svc.py’) y establece persistencia a través de múltiples mecanismos, incluidos scripts de carpetas de inicio, claves de ejecución del registro, tareas programadas y suscripciones WMI opcionales», dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe compartido con The Hacker News.
Se evalúa que el script por lotes se distribuye mediante enfoques tradicionales como el phishing. Actualmente no se sabe qué tan extendidos están los ataques que distribuyen el malware y si alguna de esas infecciones ha tenido éxito.
Lo que hace que la cadena de ataque sea notable es que el implante central de Python está incrustado directamente dentro del script dropper, desde donde se extrae, reconstruye y ejecuta. Esto reduce la necesidad de tener que recurrir repetidamente a infraestructura externa y minimiza la huella forense.
Una vez lanzado, el malware establece comunicación con «bore(.)pub», un servicio de tunelización basado en Rust, que permite al operador emitir comandos que facilitan la ejecución remota de comandos y una vigilancia exhaustiva. Esto incluye –
- cáscara inversa
- Reconocimiento del sistema
- Registro de teclas
- Monitoreo del portapapeles
- Captura de pantalla
- Acceso a la cámara web
- Grabación de audio ambiental
- Recolección de credenciales del navegador web
- Extracción de clave SSH
- Credenciales almacenadas en Google Chrome, Mozilla Firefox y Windows Credential Manager
- Robo de credenciales en la nube (Amazon Web Services, Google Cloud y Microsoft Azure)
El uso del servicio público de túnel TCP para comando y control (C2) ofrece varias ventajas, ya que elimina la necesidad de configurar una infraestructura dedicada, combina tráfico malicioso y evita incrustar detalles del servidor dentro de la carga útil.
Paralelamente, DEEP#DOOR incorpora una serie de mecanismos de evasión de defensa y antianálisis, como zona de pruebas, depurador y detección de máquinas virtuales (VM), parches AMSI y Event Tracing para Windows (ETW), desconexión de NTDLL, manipulación de Microsoft Defender, omisión de SmartScreen, supresión de registros de PowerShell, borrado de línea de comandos, marca de tiempo y borrado de registros, para pasar desapercibidos y complicar los esfuerzos de respuesta a incidentes.
También emplea múltiples mecanismos de persistencia que implican la creación de secuencias de comandos de la carpeta de inicio de Windows, claves de ejecución del registro y tareas programadas, al mismo tiempo que depende de un mecanismo de vigilancia para garantizar que los artefactos de persistencia no se hayan eliminado y, de ser así, recrearlos automáticamente, lo que dificulta la reparación.
«El implante resultante funciona como un troyano de acceso remoto (RAT) con todas las funciones, capaz de persistencia a largo plazo, espionaje, movimiento lateral y operaciones posteriores a la explotación dentro de entornos comprometidos», dijo Securonix. «El implante prioriza la evasión de la detección y la visibilidad forense alterando directamente los mecanismos de telemetría y seguridad de Windows».
«DEEP#DOOR destaca la evolución continua de los actores de amenazas hacia marcos de intrusión sin archivos y basados en scripts que dependen en gran medida de componentes nativos del sistema y lenguajes interpretados como Python. Al incorporar la carga útil directamente dentro del cuentagotas y extraerla en tiempo de ejecución, el malware reduce significativamente las dependencias externas y limita las oportunidades de detección tradicionales».