Se ha descubierto una nueva campaña de malware sofisticada que aprovecha las funciones de Azure de Microsoft para su infraestructura de comando y control (C2), una técnica novedosa que complica los esfuerzos de detección y derribo.
Según el informe DMPDUMP, el malware, identificado por primera vez desde un archivo cargado a Virustotal el 28 de agosto de 2025, desde Malasia, emplea un proceso de infección en varias etapas que involucra la carga lateral de DLL y la ejecución de carga útil en memoria para permanecer oculto.
El ataque comienza con un archivo de imagen de disco llamado ServiceNow-BNM-verify.iso. Este ISO contiene cuatro archivos: un ejecutable legítimo de Palo Alto Networks (Pangphip.exe), un archivo de acceso directo (ServiceNow-Bnm-verify.lnk) y dos bibliotecas ocultas de enlace dinámico (DLLS), libeay32.dll y el malicioso libwaapi.dll.
infección virusta
Cuando el usuario hace clic en el archivo de acceso directo, ejecuta el legítimo pangphip.exe. Sin embargo, este ejecutable es vulnerable a la carga lateral de DLL, lo que hace que cargue el malicioso libwaapi.dll desde el mismo directorio.
Cargando un archivo malicioso
Esta técnica permite que el malware se ejecute bajo la apariencia de una aplicación confiable, evitando las verificaciones de seguridad iniciales.
Los metadatos del archivo de acceso directo revelan que fue creado el 25 de agosto de 2025, tres días antes de su carga, en una máquina llamada “Desktop-RBG1PIK” por un usuario “John.gib”, ofreciendo un vistazo al entorno de desarrollo del actor de amenazas.
Inyección de carga útil y ofuscación
Una vez cargado, el malicioso libwaapi.dll inicia una secuencia de inyección de carga útil compleja. Primero oculta su ventana de consola y crea un mutex para garantizar que solo una instancia del malware se ejecute en la máquina de la víctima.
Luego inyecta su carga útil principal en la memoria de Chakra.dll, un componente legítimo de Windows. Este proceso involucra varias capas de descifrado y ofuscación.
El malware calcula una clave RC4 al hash la cadena “RDFY*y 689UUAIJS” y la usa para descifrar la carga útil. La carga útil inyectada es un código de carcasa ofuscado que descomprime el implante DLL final usando el algoritmo LZNT1.
Esta carga útil final está fuertemente ofuscada, y el análisis sugiere que implementa el módulo que no coincide para evadir la detección del software de seguridad.
Su funcionalidad está contenida dentro de la función exportada Dllunload, una opción menos común para el código malicioso de la vivienda.
función de exportación
El aspecto más significativo de este malware es su uso de funciones de Azure para las comunicaciones C2. La carga útil final envía datos de víctimas a través de una solicitud de publicación a Logsapi.AzureWebsites (.) NET/API/Logs.
Al alojar su C2 en una plataforma legítima sin servidor como Azure, el malware dificulta que los defensores de la red bloqueen el tráfico malicioso sin afectar el acceso a los servicios legítimos de Microsoft, según el DMPDump. informe.
Los datos exfiltrados se envían en un formato XML, que contiene información detallada sobre el sistema comprometido. Esto incluye la computadora y los nombres de usuario, la versión del sistema operativo, el tiempo de actividad del sistema y los procesos desde los cuales el malware y su proceso principal se están ejecutando.
Se cargó una muestra de malware relacionada con el mismo hash de importación desde Singapur el 5 de septiembre de 2025, lo que sugiere que la campaña puede estar más extendida.
Los investigadores de seguridad continúan analizando la carga útil final para comprender sus capacidades completas.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
