Los investigadores de ciberseguridad han revelado una nueva puerta trasera sigilosa llamada Mystrodx Eso viene con una variedad de características para capturar datos confidenciales de sistemas comprometidos.
«MyStrodx es una puerta trasera típica implementada en C ++, que admite funciones como administración de archivos, reenvío de puertos, shell inverso y gestión de sockets», dijo Qianxin XLAB en un informe publicado la semana pasada. «En comparación con las puertas traseras típicas, MyStrodx se destaca en términos de sigilo y flexibilidad».
MyStrodx, también llamado Chronosrat, fue documentado por primera vez por la Unidad de Palo Alto Networks 42 el mes pasado en relación con un grupo de actividad de amenazas llamado CL-STA-0969 que dijo que exhibe superposiciones con un grupo de ciber espionaje de China-Nexus denominado panda liminal.
El sigilo del malware se deriva del uso de varios niveles de cifrado hasta el código fuente oscuro y las cargas útiles, mientras que su flexibilidad le permite habilitar dinámicamente diferentes funciones basadas en una configuración, como elegir TCP o HTTP para la comunicación de la red, o optar por el cifrado de texto enjuagues o AES para asegurar el tráfico de red.
MyStrodx también admite lo que se llama modo de activación, lo que permite que funcione como una puerta trasera pasiva que puede activarse después de la recepción de paquetes de red DNS o ICMP especialmente diseñados del tráfico entrante. Hay evidencia que sugiere que el malware puede haber existido desde al menos enero de 2024, basado en una marca de tiempo de activación establecida en la configuración.
«Se verifica el valor mágico, MyStrodx establece la comunicación con el C2 (comando y control) utilizando el protocolo especificado y espera más comandos», dijeron los investigadores de XLAB. «A diferencia de las puertas de espeluznante bien conocidas como Synful Knock, que manipula los campos de encabezado TCP para ocultar comandos, MyStrodx utiliza un enfoque más simple pero efectivo: oculta las instrucciones de activación directamente en la carga útil de paquetes ICMP o dentro de los dominios de consulta DNS».
El malware se entrega mediante un cuentagotas que utiliza una serie de verificaciones relacionadas con la máquina de depuradores y virtuales para determinar si el proceso actual se está depurando o si se ejecuta dentro de un entorno virtualizado. Una vez que se completa el paso de validación, la carga útil de la próxima etapa se descifra. Contiene tres componentes –
- Daytime, un lanzador responsable de lanzar Chargen
- Chargen, el componente de puerta trasera myStrodx, y
- Casilla de botella
MyStrodx, una vez ejecutado, monitorea continuamente el proceso diurno, y si no se encuentra que se está ejecutando, lo lanza inmediatamente. Su configuración, que está encriptada utilizando el algoritmo AES, contiene información relacionada con el servidor C2, el tipo de puerta trasera y los puertos C2 principales y de respaldo.
«Cuando el tipo de puerta trasera se establece en 1, MyStrodx entra en modo de puerta trasera pasiva y espera un mensaje de activación», dijo XLAB. «Cuando el valor del tipo de puerta trasera no es 1, MyStrodx entra en modo de puerta trasera activa y establece la comunicación con el C2 especificado en la configuración, esperando para ejecutar los comandos recibidos».