Se ha descubierto un nuevo malware Polyglot que está siendo desplegado en ataques contra organizaciones de aviación, comunicaciones satelitales y transporte crítico, especialmente en los Emiratos Árabes Unidos.
Este malware instala un backdoor llamado Sosano que permite a los atacantes ejecutar comandos de forma remota y mantener persistencia en los dispositivos infectados.
Visión general de la campaña ️♂️
El malware fue identificado por Proofpoint en octubre de 2024. La campaña de ataque, vinculada a un actor de amenazas conocido como UNK_CraftyCamel, es todavía pequeña, pero altamente sofisticada y peligrosa para las empresas afectadas.
La campaña comparte algunas características con operaciones previas de grupos alineados con Irán como TA451 y TA455, pero con un enfoque más fuerte en el ciberespionaje.
¿Qué es el malware Polyglot?
El malware Polyglot es un tipo único de archivo malicioso que combina múltiples formatos de archivo, lo que le permite ser interpretado de diferentes maneras por diversas aplicaciones.
Esto evade la detección porque las herramientas de seguridad generalmente analizan los archivos basándose en un solo formato.
Por ejemplo, un archivo podría parecer un instalador MSI legítimo para Windows, pero también ser un archivo JAR para Java, lo que lo hace parecer seguro para un programa, pero malicioso para otro.
En esta campaña, los atacantes utilizan PDFs Polyglot que parecen inofensivos al principio, pero contienen código malicioso oculto (como scripts HTA y archivos ZIP).
Cadena de ataque
1. Correo electrónico de spear-phishing
El ataque comienza con un correo electrónico de spear-phishing proveniente de una empresa electrónica india comprometida.
Se solicita a las víctimas que visiten un sitio web falso (indicelectronics[.]net), donde descargan un archivo ZIP llamado OrderList.zip.
2. PDFs Polyglot: Dentro del archivo ZIP, la víctima encuentra
- Un archivo LNK disfrazado de XLS.
- Dos archivos PDF: about-indic.pdf y electronica-2024.pdf. Estos PDFs son archivos Polyglot que parecen PDFs normales, pero contienen estructuras maliciosas ocultas (código HTA y un archivo ZIP).
3. Ejecución
Cuando se abre el archivo LNK, se ejecuta mshta.exe para ejecutar el script HTA dentro del primer PDF. El segundo PDF entonces ejecuta acciones maliciosas adicionales, incluyendo:
– Escribir un archivo URL en el registro de Windows para persistencia.
– Ejecutar un archivo JPEG codificado con XOR que decodifica y ejecuta el backdoor Sosano (un payload basado en Go).
4. Payload Sosano
Una vez activado, Sosano se conecta a un servidor de comando y control (C2) en bokhoreshonline[.]com y espera instrucciones adicionales. Este backdoor permite a los atacantes:
- Ejecutar comandos en la terminal.
- Obtener payloads adicionales.
- Realizar operaciones de archivos.
Defensa contra el malware Polyglot ️
Para defenderse de estas amenazas complejas, las medidas de seguridad deben incluir:
- Escaneo de correos electrónicos para detectar archivos adjuntos maliciosos.
- Educación a los usuarios para reconocer correos electrónicos y enlaces sospechosos.
- Software de seguridad capaz de inspeccionar múltiples formatos de archivo dentro de un solo archivo.
Además, bloquear tipos de archivo peligrosos como LNK, HTA y ZIP en el gateway de correo electrónico puede evitar que las infecciones se propaguen.