Un actor de amenazas desconocido usó un archivo autoextraíble malicioso (SFX) en un intento de establecer un acceso persistente de puerta trasera al entorno de una víctima, según muestran los nuevos hallazgos de CrowdStrike.
Los archivos SFX son capaces de extraer los datos contenidos en ellos sin la necesidad de un software dedicado para mostrar el contenido del archivo. Lo logra al incluir un código auxiliar de descompresor, una pieza de código que se ejecuta para desempaquetar el archivo.
«Sin embargo, los archivos de almacenamiento SFX también pueden contener funciones maliciosas ocultas que pueden no ser visibles de inmediato para el destinatario del archivo y podrían pasar desapercibidas solo con detecciones basadas en tecnología», dijo Jai Minton, investigador de CrowdStrike. dicho.
En el caso investigado por la firma de seguridad cibernética, las credenciales comprometidas de un sistema se usaron para ejecutar una aplicación legítima de accesibilidad de Windows llamada Utility Manager (utilman.exe) y, posteriormente, iniciar un archivo SFX protegido con contraseña.
Esto, a su vez, es posible gracias a configurar un programa depurador (otro ejecutable) en el Registro de Windows a un programa específico (en este caso, utilman.exe) para que el depurador se inicie automáticamente cada vez que se inicie el programa.
El abuso de utilman.exe también es digno de mención, ya que puede ser lanzado directamente desde la pantalla de inicio de sesión de Windows usando el Tecla del logotipo de Windows + método abreviado de teclado Ulo que potencialmente permite a los actores de amenazas configurar puertas traseras a través de la clave del Registro de opciones de ejecución de archivos de imagen.
«Una inspección más cercana del archivo SFX reveló que funciona como una puerta trasera protegida por contraseña al abusar de las opciones de configuración de WinRAR en lugar de contener malware», explicó Minton.
Específicamente, el archivo está diseñado para ejecutar PowerShell (powershell.exe), Símbolo del sistema (cmd.exe) y Administrador de tareas (taskmgr.exe) con privilegios NT AUTHORITYSYSTEM proporcionando la contraseña correcta para el archivo.
«Es probable que este tipo de ataque no sea detectado por el software antivirus tradicional que busca malware dentro de un archivo (que a menudo también está protegido con contraseña) en lugar del comportamiento de un descompresor de archivo SFX», agregó Minton.
Aprenda a proteger el perímetro de identidad: estrategias comprobadas
Mejore la seguridad de su empresa con nuestro próximo seminario web sobre ciberseguridad dirigido por expertos: ¡Explore las estrategias del perímetro de identidad!
Esta no es la primera vez que los archivos SFX se emplean en ataques como un medio para que los atacantes pasen desapercibidos. En septiembre de 2022, Kaspersky reveló una campaña de malware que utilizaba enlaces a dichos archivos protegidos con contraseña para propagar Ladrón de línea roja.
Un mes después, se observó que la infame botnet Emotet enviaba un archivo SFX que, una vez abierto por un usuario, extraía automáticamente un segundo archivo SFX protegido con contraseña, ingresaba la contraseña y ejecutaba su contenido sin más interacción del usuario mediante un script por lotes. .
Para mitigar las amenazas planteadas por este vector de ataque, se recomienda que los archivos SFX se analicen a través de un software de desarchivado para identificar posibles scripts o archivos binarios que estén configurados para extraerse y ejecutarse al momento de la ejecución.