Un sofisticado malware de puerta trasera conocido como Backdoor.win32. Buterat se ha convertido en una amenaza significativa para las redes empresariales, lo que demuestra técnicas de persistencia avanzadas y capacidades de sigilo que permiten a los atacantes mantener el acceso no autorizado a largo plazo a los sistemas comprometidos.
El malware ha sido identificado dirigido a entornos gubernamentales y corporativos a través de campañas de phishing cuidadosamente orquestadas, archivos de correo electrónico maliciosos y descargas de software troyanizadas.
A diferencia del malware convencional centrado en el daño inmediato o la extracción de datos, Buterat prioriza la longevidad y las operaciones encubiertas.
La puerta trasera establece canales de comunicación cifrados con servidores remotos de comando y control, lo que permite a los actores de amenaza ejecutar comandos arbitrarios, desplegar cargas útiles adicionales y moverse lateralmente a través de la infraestructura de la red mientras evaden los mecanismos de detección tradicionales.
Investigadores salvajes de Point identificado La muestra de malware con sha-256 hash f50EC4CF0D0472A3E40FF8B9D713FB0995E648ECEDF15082A88B6E6F1789CDAB, revelando su compilación utilizando Borland Delphi y técnicas de obfuscación sofisticadas.
Flujo de ejecución (Fuente – Point Wild)
El malware disfraza sus procesos bajo tareas legítimas del sistema y modifica las claves de registro para lograr la persistencia entre los reinicios del sistema.
Técnicas avanzadas de manipulación de hilos e inyección
Buterat emplea métodos sofisticados de manipulación de hilos que lo distinguen de las implementaciones típicas de puerta trasera.
El malware aprovecha las llamadas de API ofuscadas, particularmente SetThreadContext y ReumeThread, para lograr un control preciso sobre la ejecución de los subprocesos sin crear nuevos procesos o alterar los puntos de entrada.
Esta técnica permite que la puerta trasera secuestre los hilos existentes sin problemas, lo que hace que la detección sea significativamente más desafiante para los sistemas de análisis de comportamiento.
La API SetThreadContext proporciona a los atacantes control granular sobre los estados de subproceso, lo que les permite inyectar código malicioso en procesos legítimos sin activar alertas de creación de procesos.
Después de la modificación del contexto de hilo, el malware utiliza ReumeThread para activar hilos comprometidos con flujos de ejecución alterados.
Este enfoque representa un mecanismo de evasión sofisticado que evita los sistemas de detección de comportamiento livianos comúnmente implementados en entornos empresariales.
Durante la infección, Buterat deja múltiples archivos ejecutables que incluyen amhost.exe, bmhost.exe, cmhost.exe, dmhost.exe y lql1gg.exe en el directorio de usuarios, estableciendo múltiples puntos de persistencia.
El malware intenta comunicarse con su servidor de comando y control en http://ginomp3.mooo.com/, habilitando las capacidades de control remoto para la exfiltración de datos e implementación adicional de la carga útil.
Los equipos de seguridad deben monitorear estos indicadores específicos de compromiso e implementar el bloqueo a nivel de red para evitar la comunicación con una infraestructura maliciosa conocida.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
