Ha surgido una sofisticada campaña de phishing que aprovecha el malware de Keylogger de serpiente, explotando los servicios legales de depuración de Java para evitar mecanismos de seguridad y organizaciones objetivo en todo el mundo.
El malware .NET con origen ruso, distribuido a través de un modelo de Malware como un modelo de servicio (MAAS), representa una evolución significativa en las tácticas cibercriminales al abusar de los componentes del sistema de confianza que típicamente evaden la detección.
La campaña emplea correos electrónicos de phishing de lanza con el tema de las ventas de productos de petróleo, capitalizando las tensiones geopolíticas elevadas en el Medio Oriente.
Ejemplo de un correo electrónico de phishing de lanza (fuente-CN-SEC)
Estas comunicaciones maliciosas se hacen pasar por las principales compañías petroleras, particularmente dirigidas a organizaciones en el sector energético durante un período de preocupación global por posibles interrupciones en la logística del petróleo a través del Estrecho de Hormuz.
Analistas de CN-SEC identificado Esta campaña es particularmente notable debido a su abuso sin precedentes de jsadebugd.exe, una utilidad legítima de depuración de Java que nunca antes había sido documentada con fines maliciosos.
Los atacantes demuestran una comprensión sofisticada de la arquitectura del sistema al aprovechar este binario de confianza para ejecutar su carga útil mientras mantienen sigilo.
El malware emplea un proceso de infección en varias etapas que comienza con accesorios comprimidos que contienen el legítimo JSadebugd.exe binario, renombrado para aparecer como un documento relacionado con el petróleo.
Cuando se ejecuta, el malware utiliza técnicas de respuesta lateral DLL para cargar código malicioso a través de la biblioteca jli.dll, inyectando posteriormente la carga útil de Keylogger de serpiente en el proceso legítimo InstallUtil.exe.
Evasión avanzada a través de la manipulación de encabezado binario
La técnica de evasión más sofisticada del malware implica almacenar el binario de Keylogger de serpiente dentro de Concrt141.dll mientras coloca estratégicamente el código malicioso inmediatamente antes del encabezado estándar de MZ.
Esta colocación permite que la carga útil permanezca oculta de los sistemas de detección de firma convencionales que dependen del análisis de estructura de archivos PE estándar.
La manipulación del encabezado binario se puede observar en la estructura del malware:-
Offset (h) 00 01 02 03 04 05 06 07 08 09 0a 0b 0C 0D 0E 0F 00000000 00 01 00 00 00 00 72 01 00 4D 5A 90 00 03 00 00
Esta técnica enmascara efectivamente la carga útil maliciosa mientras se mantiene la legitimidad del archivo.
El malware establece la persistencia a través de la modificación del registro en Software \ Microsoft \ Windows \ CurrentVersion \ Run, asegurando la ejecución continua a través de los reinicios del sistema mientras copia los componentes a %userProfile %SystemroOtDoc.
Tras una instalación exitosa, el keylogger de serpiente recolecta credenciales de más de 40 navegadores y aplicaciones, incluidos Chrome, Firefox, Microsoft Outlook y Filezilla, al tiempo que recopila información del sistema a través de servicios legítimos como realmente Freegeoip.org.
Los datos robados se exfiltran a través de SMTP a las direcciones de correo electrónico controladas por los atacantes, completando una operación integral de robo de datos.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
