Un grupo de atacantes dirigidos a organizaciones afiliadas a Ucrania ha estado entregando cargas útiles maliciosas ocultas dentro de los píxeles de los archivos de imagen. Conocida como esteganografía, es sólo una de las muchas técnicas avanzadas que utiliza el grupo para evadir la detección como parte de un cargador de malware conocido como IDAT.
Rastreado como UAC-0184 por varias empresas de seguridad, así como por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), el grupo fue visto apuntando a militares ucranianos a través de correos electrónicos de phishing disfrazados de mensajes de la Tercera Brigada de Asalto Separada de Ucrania y de las Fuerzas de Defensa de Israel (FDI). Si bien la mayoría de los destinatarios de estos mensajes se encontraban en Ucrania, la empresa de seguridad Morphisec también ha confirmado objetivos fuera del país.
«Si bien el adversario apuntó estratégicamente a entidades con sede en Ucrania, aparentemente buscó expandirse a entidades adicionales afiliadas a Ucrania», dijeron los investigadores en un nuevo informe. «Los hallazgos de Morphisec pusieron en primer plano un objetivo más específico: las entidades ucranianas con sede en Finlandia». Morphisec también observó el nuevo enfoque de esteganografía al entregar cargas maliciosas después del compromiso inicial.
La inyección de malware por etapas termina con el troyano Remcos
Los ataques detectados por Morphisec entregaron un cargador de malware conocido como IDAT o HijackLoader que se ha utilizado en el pasado para entregar una variedad de troyanos y programas de malware, incluidos Danabot, SystemBC y RedLine Stealer. En este caso, UAC-0184 lo utilizó para implementar un programa comercial troyano de acceso remoto (RAT) llamado Remcos.
«Distinguido por su arquitectura modular, IDAT emplea características únicas como inyección de código y módulos de ejecución, lo que lo distingue de los cargadores convencionales», dijeron los investigadores de Morphisec. “Emplea técnicas sofisticadas como carga dinámica de funciones API de Windows, pruebas de conectividad HTTP, listas de bloqueo de procesos y llamadas al sistema para evadir la detección. El proceso de infección de IDAT se desarrolla en múltiples etapas, cada una de las cuales cumple funciones distintas”.
La infección ocurre en etapas, y la primera etapa realiza una llamada a una URL remota para acceder a un archivo .js (JavaScript). El código de este archivo le dice al ejecutable dónde buscar un bloque de código cifrado dentro de su propio archivo y la clave que debe usarse para descifrarlo.
La configuración IDAT utilizada por los atacantes también utiliza un archivo PNG incrustado cuyo contenido se busca para localizar y extraer la carga útil utilizando la ubicación 0xEA79A5C6 como punto de partida. El código malicioso se puede ocultar en los datos de píxeles de archivos de imágenes y videos sin afectar necesariamente el funcionamiento de estos archivos o la información multimedia que contienen. Si bien esta no es una técnica nueva para los autores de malware, no se observa comúnmente.