Un "malware políglota" no documentado anteriormente se está implementando en ataques contra organizaciones de aviación, comunicaciones por satélite y transporte crítico en los Emiratos Árabes Unidos.
El malware ofrece una puerta trasera llamada Sosano, que establece persistencia en los dispositivos infectados y permite a los atacantes ejecutar comandos de forma remota.
La actividad fue descubierta por Proofpoint en octubre de 2024, que afirma que los ataques están vinculados a un actor de amenazas llamado 'UNK_CraftyCamel'. Si bien la campaña aún es pequeña, los investigadores informan que aún está avanzada y es peligrosa para las empresas atacadas.
Los investigadores de Proofpoint notaron que los ataques tienen similitudes con las operaciones de los grupos TA451 y TA455 alineados con Irán. Sin embargo, la última campaña es distinta, ya que tiene un fuerte enfoque de ciberespionaje.
El malware políglota consiste en archivos especialmente diseñados que contienen múltiples formatos de archivo, lo que permite que varias aplicaciones los interpreten de manera diferente. Por ejemplo, un solo archivo podría estructurarse como un MSI (instalador de Windows) válido y como un JAR (archivo Java), lo que hace que Windows lo reconozca como un MSI mientras que el entorno de ejecución de Java lo interpreta como un JAR.
Un ejemplo de archivos políglotas utilizados en campañas de malware es el cargador Emmenhtal, que se observa con frecuencia en cadenas de ataques cibernéticos que distribuyen ladrones de información o RAT.
Esta técnica permite a los atacantes enviar de forma sigilosa cargas útiles maliciosas evadiendo el software de seguridad, que normalmente analiza los archivos basándose en un único formato.
En la nueva campaña observada por Proofpoint, el ataque comienza con un correo electrónico de phishing dirigido y altamente selectivo enviado desde una empresa de electrónica india comprometida (INDIC Electronics).
Estos correos electrónicos contienen URL maliciosas que dirigen a las víctimas a un dominio falso (indicelectronics[.]net), donde se les solicita que descarguen un archivo ZIP ("OrderList.zip"). El archivo contiene un archivo LNK (acceso directo de Windows) camuflado como XLS, así como dos archivos PDF ("about-indic.pdf" y "electronica-2024.pdf"). Ambos archivos PDF son políglotas y contienen una estructura de archivo PDF legítima, pero una estructura de archivo maliciosa adicional.
El primer PDF contiene código HTA (aplicación HTML), mientras que el otro incluye un archivo ZIP oculto.
El principal beneficio de usar políglotas es la evasión, ya que la mayoría de las herramientas de seguridad inspeccionarán el primer formato de archivo (PDF), que es un documento benigno, e ignorarán por completo la parte maliciosa oculta (cargas útiles HTA/ZIP).
Al ejecutar el archivo LNK, cmd.exe lanza mshta.exe, que ejecuta el script HTA oculto dentro del primer PDF, lo que activa el lanzamiento del segundo archivo PDF.
El archivo oculto dentro del segundo PDF escribe un archivo .URL en el Registro de Windows para lograr persistencia y luego ejecuta un archivo JPEG codificado con XOR que decodifica una carga útil DLL ("yourdllfinal.dll"), que es la puerta trasera Sosano.
Proofpoint dice que Sosano es una carga útil basada en Go relativamente simple con una funcionalidad limitada que probablemente se aumentó a 12 MB de tamaño para ofuscar las pequeñas cantidades de código malicioso que utiliza.
Una vez activado, Sonaso establece una conexión con su servidor de comando y control (C2) en "bokhoreshonline[.]com" y espera comandos, incluidas operaciones con archivos, ejecución de comandos de shell y obtención y lanzamiento de cargas útiles adicionales.
La defensa contra amenazas políglotas requiere un enfoque multifacético que combine el análisis de correo electrónico, la educación del usuario y un software de seguridad que pueda detectar múltiples formatos de archivo en un solo archivo.
Si no es necesario en las operaciones diarias, es prudente bloquear tipos de archivos peligrosos como LNK, HTA y ZIP en la puerta de enlace de correo electrónico.
Fuente: BC