Los investigadores de ciberseguridad han arrojado luz sobre el servidor de comando y control (C2) de una conocida familia de malware llamada SistemaBC.
«SystemBC se puede comprar en mercados clandestinos y se suministra en un archivo que contiene el implante, un servidor de comando y control (C2) y un portal de administración web escrito en PHP», Kroll dicho en un análisis publicado la semana pasada.
El proveedor de soluciones de asesoramiento financiero y de riesgos dijo que ha sido testigo de un aumento en el uso de malware durante el segundo y tercer trimestre de 2023.
SystemBC, observado por primera vez en estado salvaje en 2018, permite a los actores de amenazas controlar remotamente un host comprometido y entregar cargas útiles adicionales, incluidos troyanos, Cobalt Strike y ransomware. También ofrece soporte para lanzar módulos auxiliares sobre la marcha para ampliar su funcionalidad principal.
Un aspecto destacado del malware gira en torno al uso de servidores proxy SOCKS5 para enmascarar el tráfico de red hacia y desde la infraestructura C2, actuando como un mecanismo de acceso persistente para la post-explotación.
Los clientes que terminan comprando SystemBC reciben un paquete de instalación que incluye el ejecutable del implante, archivos binarios de Windows y Linux para el servidor C2 y un archivo PHP para renderizar la interfaz del panel C2, junto con instrucciones en inglés y ruso que detallan los pasos y comandos. correr.
Los ejecutables del servidor C2 – «server.exe» para Windows y «server.out» para Linux – están diseñados para abrir no menos de tres puertos TCP para facilitar el tráfico C2 y la comunicación entre procesos (IPC) entre él y el Interfaz de panel basada en PHP (normalmente puerto 4000) y una para cada implante activo (también conocido como bot).
El componente del servidor también utiliza otros tres archivos para registrar información sobre la interacción del implante como proxy y cargador, así como detalles relacionados con las víctimas.
El panel basado en PHP, por otro lado, es de naturaleza minimalista y muestra una lista de implantes activos en un momento dado. Además, actúa como un conducto para ejecutar shellcode y archivos arbitrarios en la máquina víctima.
«La funcionalidad del código shell no sólo se limita a un shell inverso, sino que también tiene capacidades remotas completas que pueden inyectarse en el implante en tiempo de ejecución, aunque es menos obvia que generar cmd.exe para un shell inverso», dijeron los investigadores de Kroll.
El desarrollo se produce cuando la compañía también compartió un análisis de una versión actualizada de DarkGate (versión 5.2.3), un troyano de acceso remoto (RAT) que permite a los atacantes comprometer completamente los sistemas de las víctimas, desviar datos confidenciales y distribuir más malware.
«La versión de DarkGate que se analizó mezcla el alfabeto Base64 en uso en la inicialización del programa», dijo el investigador de seguridad Sean Straw. dicho. «DarkGate intercambia el último carácter con un carácter aleatorio anterior, moviéndose de atrás hacia adelante en el alfabeto».
Kroll dijo que identificó una debilidad en este alfabeto Base64 personalizado que hace que sea trivial decodificar la configuración en el disco y las salidas del registro de teclas, que se codifican usando el alfabeto y se almacenan dentro de una carpeta de exfiltración en el sistema.
«Este análisis permite a los analistas forenses decodificar la configuración y los archivos del keylogger sin necesidad de determinar primero la identificación del hardware», dijo Straw. «Los archivos de salida del keylogger contienen pulsaciones de teclas robadas por DarkGate, que pueden incluir contraseñas escritas, correos electrónicos redactados y otra información confidencial».