Ha surgido una sofisticada campaña de phishing que dirige la defensa turca y las empresas aeroespaciales, entregando una variante altamente evasiva del malware de Keylogger de serpiente a través de correos electrónicos fraudulentos que se sufra a Tusaş (industrias aeroespaciales turcas).
La campaña maliciosa distribuye archivos disfrazados de documentos contractuales, específicamente utilizando el nombre de archivo “Teklif ̇steğı – Tusaş Türk Havacilik Uzay Sanaylex_xlsx.exe” para engañar a los receptores para ejecutar la carga útil.
La variante de Keylogger de serpiente demuestra capacidades de persistencia avanzada y técnicas de evasión sofisticadas que le permiten operar sin ser detectados dentro de los sistemas comprometidos.
Una vez ejecutado, el malware establece inmediatamente múltiples capas de persistencia al tiempo que implementa simultáneamente mecanismos anti-detección para garantizar el acceso a largo plazo a los sistemas de víctimas.
El enfoque dirigido de la campaña hacia los contratistas de la industria de defensa indica un enfoque estratégico en las operaciones de recopilación de inteligencia de alto valor.
Investigadores de malwation identificado Esta tensión particular durante su análisis de campañas de phishing recientes, señalando el uso sofisticado del malware de utilidades legítimas de Windows para mantener la persistencia y evadir los controles de seguridad.
Amenaza.zone (fuente – malwation)
La muestra, con SHA256 Hash 0CB819D32CB3A2F218C5A17C02BB8C06935E926EBACF1E40A746B01E960C68E4, presenta como un PE32 escrito en .NET, utilizando múltiples capa de impacamiento para el ocreal su verdadera funcionalidad.
Los objetivos principales del Keylogger incluyen credenciales, cookies e información financiera extraída de más de 30 navegadores y clientes de correo electrónico diferentes, incluidos Chrome, Firefox, Outlook y Thunderbird.
Funcionalidades de Keylogger de serpiente (Fuente – Malwation)
Además, el malware recolecta datos de enfoque automático, información de la tarjeta de crédito, historias de descarga y sitios principales de sistemas comprometidos antes de exfiltrar los datos robados a través de SMTP a los servidores MAIL.HTCP.HOMES.
Mecanismos avanzados de persistencia y evasión
El malware emplea un enfoque de doble punta para establecer la persistencia mientras evade los sistemas de detección.
Tras la ejecución, invoca inmediatamente a PowerShell para agregar a la lista de exclusión del defensor de Windows utilizando el comando add-mppreference -excl, neutralizando efectivamente la protección de antimalware incorporada.
Esta operación se ejecuta a través de la llamada del sistema NTCreateUserProcess, iniciando PowerShell.exe con privilegios elevados para modificar las configuraciones de seguridad.
Simultáneamente, el malware crea una tarea programada llamada “Actualizaciones \ ONQXPR” usando Schtasks.exe para garantizar la ejecución automática al inicio del sistema.
El proceso de creación de tareas programado implica generar un archivo de configuración XML que define los parámetros de ejecución, lo que permite que el malware persista en los reinicios del sistema sin la interacción del usuario.
Esta técnica aprovecha la funcionalidad legítima de programación de tareas de Windows, lo que hace que la detección sea significativamente más desafiante para las soluciones de seguridad tradicionales.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
