Los investigadores de seguridad han descubierto una nueva cadena de entrega de malware en las últimas semanas que aprovecha la infraestructura legítima del Archivo de Internet para alojar cargas útiles ofuscadas.
El ataque comienza con un archivo JScript aparentemente inocuo entregado a través de Malspam, que a su vez invoca un cargador de PowerShell.
Este script PowerShell llega al archivo de Internet (Archive.org) para recuperar una imagen PNG de aspecto benigno que, tras una inspección más cercana, alberga un cargador .NET oculto codificado dentro de sus datos de píxeles.
Los investigadores señalaron que esta inteligente reutilización de una propiedad web confiable permitió a los atacantes combinar el tráfico malicioso sin problemas con las solicitudes de archivo legítimas, lo que complica los esfuerzos de detección.
Analistas de vmray identificado El cargador JScript inicial como la primera etapa, ejecutada cuando una víctima abre un archivo adjunto malicioso. El script instancias de un objeto WScript.Shell y ejecuta PowerShell con una cadena de comando codificada Base64.
Cuando se decodifica, el comando se conecta a una URL en Archive.org, descarga Image.png y la pasa a un extractor de ensamblaje .NET en memoria.
La rutina de extracción lee los valores RGB de cada píxel y reconstruye la secuencia de bytes DLL original.
Encontrar y extracción (fuente – x)
En cuestión de segundos, el cargador .NET establece la persistencia mediante la creación de una clave de ejecución del registro en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run.
Luego descomprime y lanza la carga útil final: un troyano de acceso remoto REMCOS. La instancia de REMCOS se conecta a su servidor de comando y control (C2) a través de un subdominio DNS de pato, asegurando la resolución dinámica y la redundancia.
La ficha posterior y la carga de módulos ocurren completamente en la memoria, dejando artefactos forenses mínimos en el disco. Esta cadena de ejecución de solo memoria resalta el énfasis del adversario en evadir las herramientas de detección tradicionales basadas en la firma.
Las implicaciones de abusar de un archivo de alta reputación para el alojamiento de malware son profundas. Al integrar el código malicioso dentro de una imagen inocua en Archive.org, los atacantes explotan los certificados HTTPS del archivo y la red de entrega de contenido para evitar criar banderas rojas.
Los defensores de la red solo pueden ver una solicitud HTTPS encriptada a Archive.org, que típicamente está en la lista blanca, pasando por alto la inspección de firewall y proxy.
Las capas de ofuscación —jscript, base64, la codificación de píxeles RGB, la ejecución de .NET en memoria— componen el sigilo de la campaña.
public byte () ExtractPayLoad (BitMap BMP) {List bytes = new List (); for (int y = 0; y
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
