Se ha detectado una campaña de distribución de malware que recurre a un método nunca antes visto: utilizar los registros de eventos de Windows para ocultar en ellos el malware… un método que ha permitido a los atacantes difundirlo sin llamar la atención, dadas las pocas alarmas que levanta un ataque de esas características.
Concretamente, lo que hace este ataque es recurrir a un primer malware que va inyectando fragmentos de 8 KB de código shell cifrado en los registros de eventos de Windows para el Servicio de Administración de Claves (KMS), fragmentos que posteriormente descifra, combina y ejecuta. Un mecanismo que ha permitido hasta ahora al creador de esta técnica —de identidad aún desconocida— ‘volar bajo el radar’ de los antivirus.
La detección de comportamiento anómalo de Kaspersky permitió identificar por primera vez este malware y la investigación reveló que el malware era parte de una campaña «muy dirigida».
Se cree que el sigiloso proceso de infección que ha permitido a este software distribuirse entre sus víctimas se inició en septiembre de 2021, cuando la víctima fue manipulada para descargar un archivo RAR desde el servicio de intercambio de archivos file.io.
El troyano que contenía archivos que venían firmados irregularmente con el certificado de una compañía denominada Fast Invest ApS y alteraba archivos del sistema con el objetivo de ‘secuestrar’ el proceso de detección de errores de Windows y así poder inyectar el citado código en los logs de Windows.
En primer lugar, el módulo copia el controlador de errores del sistema operativo legítimo original WerFault.exe en C:\Windows\Tasks. Luego, coloca uno de los recursos binarios cifrados en el archivo wer.dll en el mismo directorio para el secuestro típico del orden de búsqueda de DLL. En aras de la persistencia, el módulo configura el WerFault.exe recién creado para que se ejecute automáticamente, creando un valor en una rama de registro del sistema: Software\Microsoft\Windows\CurrentVersion\Run Windows.
Más allá de su complejidad técnica, en la mayoría de los casos el propósito final del código inyectado no era otro que el de obtener algunos «datos valiosos» contenidos en los equipos de las víctimas, según declaraciones de los investigadores del caso.
Kaspersky afirma que la investigación en torno a este malware no encontró ninguna similitud con campañas anteriores asociadas con grupos cibercriminales conocidos. Aunque, ahora que una porción de su código fuente está disponible en GitHub, es posible que esta técnica de intrusión empiece a popularizarse.