Los actores de amenazas detrás de la operación de ransomware CatB han sido observados usando una técnica llamada Secuestro de orden de búsqueda de DLL para evadir la detección y lanzar la carga útil.
CatB, también conocido como CatB99 y Baxtoy, surgió a fines del año pasado y se dice que es una «evolución o cambio de marca directo» de otra cepa de ransomware conocida como Pandora basada en similitudes a nivel de código.
Vale la pena señalar que el uso de Pandora se ha atribuido a Bronze Starlight (también conocido como DEV-0401 o Emperor Dragonfly), un actor de amenazas con sede en China que se sabe que emplea familias de ransomware de corta duración como una artimaña para ocultar sus verdaderos objetivos.
Una de las características clave que definen a CatB es su dependencia del secuestro de DLL a través de un servicio legítimo llamado Coordinador de transacciones distribuidas de Microsoft (MSDTC) para extraer e iniciar la carga útil del ransomware.
«Después de la ejecución, las cargas útiles de CatB se basan en el secuestro de órdenes de búsqueda de DLL para colocar y cargar la carga útil maliciosa», dijo Jim Walter, investigador de SentinelOne. dicho en un informe publicado la semana pasada. «El cuentagotas (versions.dll) suelta la carga útil (oci.dll) en el directorio System32».
El cuentagotas también es responsable de realizar comprobaciones antianálisis para determinar si el malware se está ejecutando dentro de un entorno virtual y, en última instancia, abusar del servicio MSDTC para inyectar el oci.dll falso que contiene el ransomware en el ejecutable msdtc.exe al reiniciar el sistema. .
«El [MSDTC] Las configuraciones modificadas son el nombre de la cuenta con la que se debe ejecutar el servicio, que se cambia de Servicio de red a Sistema local, y la opción de inicio del servicio, que se cambia de Inicio por demanda a Inicio automático para la persistencia si se produce un reinicio», Minerva Labs investigadora Natalie Zargarov explicado en un análisis anterior.
Un aspecto llamativo del ransomware es la ausencia de una nota de rescate. En cambio, cada archivo encriptado se actualiza con un mensaje que insta a las víctimas a realizar un pago de Bitcoin.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
Otro rasgo es la capacidad del malware para recopilar datos confidenciales, como contraseñas, marcadores, historial de los navegadores web Google Chrome, Microsoft Edge (e Internet Explorer) y Mozilla Firefox.
«CatB se une a una larga lista de familias de ransomware que adoptan técnicas seminovedosas y comportamientos atípicos, como agregar notas al encabezado de los archivos», dijo Walter. «Estos comportamientos parecen implementarse en interés de la evasión de detección y algún nivel de engaño contra el análisis».
Esta no es la primera vez que el servicio MSDTC se utiliza como arma con fines maliciosos. En mayo de 2021, Trustwave reveló un nuevo malware denominado Pingback que aprovechaba la misma técnica para lograr persistencia y eludir soluciones de seguridad.