Investigadores de Symantec han descubierto una campaña maliciosa del grupo de hackers Witchetty, que utiliza esteganografía para ocultar malware en una imagen con el logo de Windows.
Déjame recordarte que también escribimos eso. Los piratas informáticos se esconden carromago skimmers en botones de redes sociales.
Los expertos recuerdan que el bruja El grupo de hackeo está asociado con el grupo chino. APT10 (alias Cigarra). En febrero comenzó una de las últimas campañas de ciberespionaje por parte de ciberdelincuentes 2022 y apunta a gobiernos en el Medio Oriente, así como la bolsa de valores en África. Esta campaña aún está en curso..
Los expertos notaron que esta vez los piratas informáticos ampliaron su conjunto de herramientas maliciosas y Comenzó a utilizar la esteganografía en los ataques.: ocultan la puerta trasera cifrada con XOR en el antiguo mapa de bits del Windows logo.
Imagen en la que los hackers escondieron malware
Gracias a este disfraz, el archivo con la puerta trasera se coloca en un servicio en la nube sin nombre, y no en el servidor de control del grupo, ya que las soluciones de seguridad no detectan una carga útil maliciosa en él.
Los ataques de Witchetty comienzan cuando los atacantes obtienen acceso a la red de la víctima utilizando el ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) y Inicio de sesión proxy (CVE-2021-26855 y CVE-2021-27065) vulnerabilidades), que se utiliza para inyectar web shells en servidores vulnerables.
Luego, los atacantes descargan y extraen la puerta trasera oculta en el archivo de imagen., Que permite:
- realizar acciones en archivos y directorios;
- comenzar, enumerar o matar procesos;
- modificar el registro de windows;
- descargar cargas útiles adicionales;
- robar archivos.
Witchetty también utiliza una utilidad proxy especial que obliga a la computadora infectada a actuar. «como servidor y se conecta al C&Servidor C actuando como cliente, y no al revés.»
Otras herramientas culpables incluyen un escáner de puertos personalizado y una utilidad de fijación de sistema personalizada que se agrega al registro bajo la apariencia de un Nvidia componente principal de visualización.