Los
investigadores de Kaspersky descubrieron un malware de Windows PowerShell denominado PowerPepper y desarrollado por el grupo de
piratas informáticos DeathStalker.
DeathStalker
(anteriormente conocido como Deceptikons) son actores de amenazas cuya
actividad se remonta al menos a 2012 conocidos por usar una amplia gama de
cepas de malware y cadenas de distribución complejas, así como por usar
regularmente tácticas que los ayudan a evadir la detección.
La focalización
del grupo ha involucrado a organizaciones y empresas de todo el mundo, desde
sociedades financieras hasta despachos de abogados, sin una motivación
específica lo que llevó a su clasificación como grupo de ciber-mercenarios.
DeathStalker es
uno de los cuatro grupos de hackers de alquiler expuestos en 2020, junto con
BellTrox (también registrado como Dark Basin), Bahamut y CostaRicto.
(adsbygoogle = window.adsbygoogle || []).push({});
Huellas digitales
de DeathStalker
El nuevo implante
PowerPepper fue descubierto por Kaspersky en mayo de 2020 mientras investigaba
otros ataques utilizando el otro implante basado en PowerShell del grupo
conocido como Powersing.
Desde su
descubrimiento, PowerPepper ha estado en constante desarrollo con la
implementación de nuevas versiones y la adaptación de sus cadenas de
distribución a nuevos objetivos.
Este nuevo
malware es una puerta trasera en memoria basada en Windows PowerShell que
permite a sus operadores ejecutar comandos de shell entregados de forma remota
a través de un servidor de comando y control (C2).
Sus capacidades
incluyen varias tácticas anti-detección como “detección de movimientos del
mouse, filtrado de direcciones MAC del cliente, manejo de aplicaciones de Excel
e inventario de productos antivirus”.
El malware se envía a las computadoras de los objetivos en forma de archivos adjuntos o enlaces maliciosos de correo electrónico de spear-phishing que apuntan a documentos que contienen macros de Visual Basic para aplicaciones (VBA) maliciosas que ejecutan PowerPepper y obtienen persistencia en los sistemas infectados.
“Esta cadena de infección varió ligeramente entre julio y noviembre de 2020: algunos nombres de archivos caídos, código integrado o enlaces remotos cambiaron, pero la lógica siguió siendo la misma”, explicó el investigador de Kaspersky Lab, Pierre Delcher.
Sus cadenas de entrega basadas en macros y basadas en LNK también tienen las huellas digitales de DeathStalker en ellas con múltiples trucos de ofuscación, ejecución y enmascaramiento que se emplean para evadir la detección.
Los trucos de evasión de la cadena de distribución de
PowerPepper incluyen:
- Ocultar cargas útiles en las propiedades de formas
incrustadas de Word - Utilizando archivos de Ayuda HTML compilada de Windows (CHM)
como archivos para archivos maliciosos - Enmascarar y ofuscar archivos persistentes
- Ocultar cargas útiles dentro de imágenes usando
esteganografía - Ejecutar a través de una ejecución de proxy binaria firmada
DNS sobre HTTPS para comunicaciones C2
Lo que se destaca en su lista de características es la forma en que se comunica con su servidor C2 utilizando los respondedores de Cloudflare a través de DNS sobre canales HTTPS (DoH).
“PowerPepper primero intenta aprovechar Excel de Microsoft como cliente web para enviar solicitudes DoH a un servidor C2, pero recurrirá al cliente web estándar de PowerShell y, en última instancia, a las comunicaciones DNS regulares, si los mensajes no pueden pasar”, dijo Delcher.
El malware sondea el servidor C2 en busca de comandos periódicamente utilizando solicitudes de DNS de tipo TXT a través de DoH (o DNS normal cuando el DoH falla) a los servidores de nombres de C2.
El servidor C2 envía los comandos cifrados para que se ejecuten incrustados en una respuesta de DNS para los objetivos validados a través de HTTPS después de que PowerPepper se inicie con éxito en un objetivo comprometido.
