Los investigadores de seguridad han descubierto el nuevo ‘Farseer’ de la familia Malware.
Los investigadores de seguridad de la Unidad 42 han descubierto otra familia de malware creada para el sistema operativo Microsoft Windows de objetivo más frecuente que llamamos ‘Farseer’. Al igual que con HenBox, Farseer también tiene vínculos de infraestructura con otros programas maliciosos, como Poison Ivy, Zupdax y PKPLUG.
Investigador de la red de Palo Alto da nombre a Farseer. Anteriormente, el investigador descubrió la familia de malware de espionaje Android, HenBox, que tenía innumerables funciones para espiar a sus víctimas, principalmente la población uigur, incluida la interacción con los dispositivos Xiaomi IoT y los teléfonos inteligentes del fabricante chino de electrónica de consumo.
Farseer emplea la técnica conocida de carga de DLL para cargar su carga útil. Los archivos de configuración del malware comparten similitudes con los de HenBox, comenzando por el hecho de que ambos son archivos de texto que se leen y analizan en tiempo de ejecución. Para la persistencia, Farseer crea una entrada de registro para ejecutar un script VBS que ejecuta bscmake. exe, y por lo tanto el propio malware.
«HenBox representó una amenaza para los dispositivos que ejecutan Android, Farseer está diseñado para apuntar a Windows, que parece ser más típico dadas las amenazas previas del grupo o los grupos detrás de esto, y el malware relacionado», concluyen los investigadores de seguridad.
Más débil, el uso de binarios de confianza para cargar código malicioso, para cargar su carga útil, el malware comienza eliminando los binarios conocidos, legítimos y firmados en el host. Estos binarios, firmados por Microsoft u otros proveedores, suelen ser aplicaciones de confianza cuando se controlan mediante un software antivirus o el sistema operativo y, por lo tanto, no generan alertas sospechosas.
Conclusión
Los actores de amenazas detrás de Farseer y el malware relacionado, incluido HenBox, continúan ampliando su arsenal con la adición de esta familia de malware previamente desconocida. Los investigadores de seguridad agregaron que la infraestructura superpuesta, las TTP compartidas y las similitudes en el código malicioso y las configuraciones resaltan la red de amenazas utilizadas para atacar a las víctimas en y alrededor de la región del sudeste asiático y más allá.
Las cargas útiles más débiles son las puertas traseras que balizas a los servidores C2 preconfigurados para obtener instrucciones. El malware utiliza varias técnicas para evadir la detección e inhibir el análisis. Por ejemplo, la carga de DLL utilizando ejecutables de confianza y firmados permite que el malware se ejecute de manera perfecta; algunas cargas útiles se cifran en el análisis de prevención de disco, especialmente cuando la descompresión y el descifrado se producen en tiempo de ejecución, en memoria, donde el código se altera aún más para frustrar el análisis forense.
Fuente: hackersonlineclub.com