6 de junio de 2024Sala de prensa Seguridad para terminales/Malware
Los actores de amenazas explotan cada vez más el software empaquetador comercial legítimo, como BoxedApp, para evadir la detección y distribuir malware como troyanos de acceso remoto y robo de información.
“La mayoría de las muestras maliciosas estaban dirigidas a instituciones financieras y agencias gubernamentales”, dijo en un análisis el investigador de seguridad de Check Point, Jiri Vinopal.
La firma israelí de ciberseguridad dijo que la cantidad de muestras empaquetadas con BoxedApp y enviadas a la plataforma de escaneo de malware VirusTotal, propiedad de Google, aumentó alrededor de mayo de 2023, y los artefactos provenían principalmente de Turquía, Estados Unidos, Alemania y Francia, agregó Rusia.
Las familias de malware distribuidas de esta manera incluyen Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, NjRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm y ZXShell.
Los empaquetadores son archivos autoextraíbles que a menudo se utilizan para agrupar software y reducir su tamaño. Sin embargo, a lo largo de los años, los actores de amenazas han reutilizado dichas herramientas para agregar más capas de ofuscación a las cargas útiles para frustrar el análisis.
La proliferación de exploits para productos BoxedApp como BoxedApp Packer y BxILMerge se debe a una serie de factores que hacen que estos productos sean opciones atractivas para los atacantes que buscan implementar malware sin ser detectado por el software de seguridad de endpoints.
BoxedApp Packer se puede utilizar para empaquetar tanto PE nativo como .NET PE, mientras que BxILMerge (similar a ILMerge) es solo para empaquetar aplicaciones .NET.
Dicho esto, se sabe que las aplicaciones empaquetadas con BoxedApp, incluso las no maliciosas, sufren altas tasas de falsos positivos (FP) cuando son escaneadas por motores antimalware.
“Al empaquetar cargas útiles maliciosas, los atacantes pueden reducir la detección de amenazas conocidas, mejorar el análisis y utilizar funciones avanzadas del SDK de BoxedApp (como el almacenamiento virtual) sin tener que desarrollarlo desde cero”, dijo Vinopal.
“El SDK de BoxedApp en sí abre espacio para crear empaquetadores únicos y personalizados que aprovechan las características de vanguardia y tienen suficiente versatilidad para evadir la detección estática”.
Familias de malware como Agent Tesla, FormBook, LokiBot, Remcos y XLodaer también se están propagando mediante un empaquetador ilegal con nombre en código NSIXloader que aprovecha el Nullsoft Scriptable Install System (NSIS). El hecho de que se utilice para entregar diferentes conjuntos de cargas útiles significa que se comercializa y monetiza en la web oscura.
“La ventaja de utilizar NSIS para los ciberdelincuentes es que pueden crear muestras que a primera vista son indistinguibles de los instaladores legítimos”, dijo el investigador de seguridad Alexei Bukteev.
“NSIS realiza la compresión por sí solo, por lo que los desarrolladores de malware no tienen que implementar algoritmos de compresión y descompresión. Las capacidades de secuencias de comandos de NSIS permiten que la funcionalidad maliciosa se transfiera dentro de las secuencias de comandos, lo que hace que el análisis sea más complejo. Masu”.
Este desarrollo se produce cuando el equipo de QiAnXin XLab reveló detalles de otro empaquetador con nombre en código Kiteshield que ha sido utilizado por múltiples actores de amenazas, incluidos Winnti y DarkMosquito, para atacar sistemas Linux.
“Kiteshield es un empaquetador/protector para binarios ELF x86-64 en Linux”, dijeron los investigadores de XLab. “Kiteshield envuelve los binarios ELF con múltiples capas de cifrado e inyecta un código de carga que descifra, mapea y ejecuta los binarios empaquetados completamente en el espacio del usuario”.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/06/hackers-exploit-legitimate-packer.html