El nuevo malware PRIVATELOG utiliza archivos de registro CLFS para ocultarse

Se ha descubierto una nueva familia de malware que utiliza Common Log File System (CLFS) para no ser detectado. Este malware, denominado PRIVATELOG, utiliza otro malware, StashLog, como instalador.

El equipo de prácticas avanzadas de Mandiant de FireEye ha descubierto que PRIVATELOG y StashLog evitan la detección de las agencias de seguridad a su manera única.

El actor de la amenaza responsable y sus motivos detrás del ataque son, por el momento, desconocidos.

El malware no se ha utilizado en ataques del mundo real ni se ha observado que inicie cargas útiles de segunda etapa. Se cree que está en desarrollo o se utiliza para actividades específicas.

Como el formato CLFS no es muy popular, ninguna herramienta puede leer archivos de registro CLFS. Esto hace posible ocultar datos como registros de registro CLFS, sin quedar atrapado en ningún radares de seguridad. Se puede acceder a estos datos mediante funciones API.

La muestra identificada de PRIVATELOG es un archivo DLL de 64 bits sin ofuscar. Mientras que StashLog es su instalador que usa cadenas ofuscadas y técnicas de control de flujo que complican la detección.

PRIVATELOG y StashLog tienen métodos ligeramente contrastantes para entregar otras cargas útiles maliciosas.

El instalador StashLog permite una carga útil de la siguiente etapa como argumento y su contenido podría almacenarse en un archivo de registro CLFS.

PRIVATELOG utiliza el método de secuestro de orden de búsqueda de DLL para cargar la biblioteca maliciosa. La carga útil maliciosa se ejecuta cuando es llamada por un programa de la víctima, como PrintNotify.

Además, PRIVATELOG identifica primero los archivos * .BLF en el directorio de perfil del usuario predeterminado. Luego, usa un archivo .BLF con la fecha y hora más antigua, antes de descifrar y almacenar la carga útil de la segunda etapa.

El uso de archivos de registro CLFS para pasar desapercibido es un nuevo truco utilizado por este actor de amenazas desconocido. Mandiant ha proporcionado reglas YARA para detectar contenedores CLFS que coinciden con estructuras PRIVATELOG o datos cifrados. Además, la agencia de seguridad recomienda buscar COI en los eventos con las palabras clave «proceso», «carga de imágenes» o «escritura de archivos» en los registros de EDR.