Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Ocultan carga útil de ObliqueRAT en imágenes para evadir la detección


Implementando troyanos de acceso remoto (RAT) bajo la apariencia de imágenes aparentemente inocuas alojadas en sitios web infectados, lo que destaca una vez más cómo los actores de amenazas cambian rápidamente de táctica cuando sus métodos de ataque se descubren y se exponen públicamente.


Documentado por primera vez en febrero de 2020 , el malware se ha relacionado con un actor de amenazas rastreado como Transparent Tribe (también conocido como Operación C-Major, Mythic Leopard o APT36), un grupo muy prolífico supuestamente de origen paquistaní conocido por sus ataques contra activistas de derechos humanos en el país, así como el personal militar y gubernamental de la India.

Si bien el modus operandi de ObliqueRAT se superpuso anteriormente con otra campaña de Tribu Transparente en diciembre de 2019 para difundir CrimsonRAT, la nueva ola de ataques difiere de dos maneras cruciales.

Además de hacer uso de un código de macro completamente diferente para descargar e implementar la carga útil de RAT, los operadores de la campaña también han actualizado el mecanismo de entrega ocultando el malware en archivos de imagen de mapa de bits aparentemente benignos (archivos .BMP) en una red de adversarios. sitios web controlados.

Archivos de imagen 

Los archivos de imagen utilizados son archivos BMP alojados en sitios web controlados por adversarios. Los archivos de imagen contienen datos de imagen legítimos y bytes ejecutables maliciosos ocultos en los bytes de datos de imagen. 

Archivo de imagen que contiene datos ejecutables en BITMAPLINES (datos RGB).



“Otro ejemplo de un Maldoc utiliza una técnica similar con la diferencia de que la carga útil alojado en la página web comprometida es una imagen BMP que contiene un archivo ZIP que contiene ObliqueRAT carga útil,” Talos investigador Asheer Malhotra dijo . “Las macros maliciosas son responsables de extraer el ZIP y, posteriormente, la carga útil de ObliqueRAT en el endpoint”.



Independientemente de la cadena de infección, el objetivo es engañar a las víctimas para que abran correos electrónicos que contienen los documentos armados, que, una vez abiertos, dirigen a las víctimas a la carga útil de ObliqueRAT (versión 6.3.5 a partir de noviembre de 2020) a través de URL maliciosas y, en última instancia, exportan datos confidenciales de el sistema de destino.

Pero no es solo la cadena de distribución la que ha recibido una actualización. Se han descubierto al menos cuatro versiones diferentes de ObliqueRAT desde su descubrimiento, que Talos sospecha que son cambios probablemente realizados en respuesta a divulgaciones públicas anteriores, al tiempo que amplían sus capacidades de robo de información para incluir una captura de pantalla y funciones de grabación de cámara web y ejecutar comandos arbitrarios.

El uso de esteganografía para entregar cargas útiles maliciosas no es nuevo, al igual que el abuso de sitios web pirateados para alojar malware.

En junio de 2020, se descubrió que los grupos de Magecart ocultaban el código del skimmer web en los metadatos EXIF ​​para la imagen de favicon de un sitio web. A principios de esta semana, los investigadores de Sophos descubrieron una campaña de Gootkit que aprovecha el envenenamiento por optimización de motores de búsqueda (SEO) con la esperanza de infectar a los usuarios con malware al dirigirlos a páginas falsas en sitios web legítimos pero comprometidos.

Pero esta técnica de utilizar documentos envenenados para señalar a los usuarios el malware oculto en archivos de imagen presenta un cambio en las capacidades de infección con el objetivo de pasar sin atraer demasiado escrutinio y permanecer fuera del radar.

“Esta nueva campaña es un ejemplo típico de cómo los adversarios reaccionan a las divulgaciones de ataques y evolucionan sus cadenas de infección para evadir las detecciones”, dijeron los investigadores. “Las modificaciones en las cargas útiles de ObliqueRAT también destacan el uso de técnicas de ofuscación que se pueden utilizar para evadir los mecanismos de detección tradicionales basados ​​en firmas”.


Fuentes:

https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html

https://www.zdnet.com/article/obliquerat-trojan-now-hides-in-images-on-compromised-websites/

https://blog.underc0de.org/ciberdelincuentes-ocultan-carga-util-de-obliquerat-en-imagenes-para-evadir-la-deteccion/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.