Los profesionales de ciberseguridad en todo este y sudeste asiático se enfrentan a una nueva amenaza sofisticada a medida que los atacantes vinculados a China desplegan un instalador MSI armado disfrazado de un paquete de configuración legítimo de WhatsApp.
Esta campaña maliciosa representa una escalada significativa en las tácticas de ingeniería social, aprovechando la popularidad y la confianza asociadas con la plataforma de mensajería ampliamente utilizada para infiltrarse en los sistemas corporativos y personales.
El ataque demuestra una sofisticación técnica avanzada a través de su enfoque de varias capas para la implementación de malware y el compromiso del sistema.
Los actores de amenaza han creado una cadena de ataque elaborada que comienza con la distribución de los instaladores de MSI troyanizados, cuidadosamente diseñados para imitar los auténticos paquetes de instalación de WhatsApp.
Analistas de Broadcom identificado Esta campaña es particularmente preocupante debido a su naturaleza objetivo y las técnicas avanzadas empleadas para evadir las medidas de seguridad tradicionales.
El malware emplea el código de shell encriptado integrado en archivos de imagen aparentemente inocuos, lo que hace que la detección inicial sea significativamente más desafiante para las soluciones antivirus convencionales.
Una vez ejecutado, el instalador malicioso implementa scripts de PowerShell que establecen la persistencia a través de tareas programadas, asegurando que el malware mantenga su punto de apoyo en los sistemas infectados incluso después de los reinicios.
La carga útil final representa una versión muy modificada del troyano de acceso remoto Xworm, mejorado con funciones especializadas diseñadas para detectar instalaciones de telegrama en sistemas comprometidos.
Esta modificación sugiere que los atacantes están específicamente interesados en monitorear las plataformas de comunicaciones, potencialmente para el espionaje o más ataques de ingeniería social.
La sofisticación técnica de la campaña se extiende a su infraestructura de comunicación, donde los sistemas infectados informan a los servidores de comando y control a través de mecanismos basados en telegramas, utilizando efectivamente plataformas de mensajería legítimas para enmascarar el tráfico malicioso.
Mecanismo de infección avanzado y técnicas de evasión
El mecanismo de infección del malware demuestra una notable complejidad técnica mediante el uso de cargadores de shellcode encriptados integrados dentro de los archivos de imagen.
Esta técnica, conocida como esteganografía, permite que el código malicioso se esconda a la vista al ocultar el contenido ejecutable dentro de los datos de píxeles de imágenes aparentemente inofensivas.
Los cargadores de shellcode están diseñados para extraer y ejecutar la carga útil cifrada solo cuando se cumplen condiciones específicas, lo que hace que el análisis dinámico sea más difícil para los investigadores de seguridad.
Los sistemas de protección de Symantec han identificado múltiples firmas de detección, incluidas troyan.gen.mbt y varios identificadores heurísticos como Heur.Advml.a serie, lo que indica las sofisticadas capacidades de evasión del malware.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
