Hackers-For-Hire Group desarrolla nuevo malware en memoria ‘PowerPepper’

Investigadores revelaron recientemente

detalles de una puerta trasera de Windows en memoria no descubierta previamente desarrollada por una operación de piratas informáticos a sueldo que puede ejecutar código malicioso de forma remota y robar información confidencial de sus objetivos en Asia, Europa y EE.

Apodado «PowerPepper» por los investigadores de Kaspersky, el malware se ha atribuido al grupo DeathStalker (anteriormente llamado Deceptikons), un actor de amenazas que se ha encontrado que afecta a bufetes de abogados y empresas del sector financiero ubicados en Europa y Oriente Medio al menos desde entonces. 2012.

La herramienta de piratería se llama así debido a su dependencia de los trucos esteganográficos para entregar la carga útil de la puerta trasera en forma de una imagen de helechos o pimientos.

El grupo de espionaje salió a la luz por primera vez a principios de julio , y la mayoría de sus ataques comenzaron con un correo electrónico de phishing que contenía un archivo LNK modificado malicioso (acceso directo) que, al hacer clic, descarga y ejecuta un implante basado en PowerShell llamado Powersing.

Si bien sus objetivos no parecen estar motivados económicamente, su continuo interés en recopilar información comercial crucial llevó a Kaspersky a la conclusión de que «DeathStalker es un grupo de mercenarios que ofrecen servicios de piratería informática a sueldo o que actúan como una especie de intermediario de información en círculos financieros «.

PowerPepper ahora se une a la lista del grupo de conjuntos de herramientas en expansión y evolución.

Descubierta en estado salvaje a mediados de julio de 2020, esta nueva cepa de malware se elimina de un documento de Word señuelo y aprovecha DNS sobre HTTPS (DoH) como un canal de comunicación para transmitir comandos de shell maliciosos cifrados desde un servidor controlado por un atacante.

Los correos electrónicos de spear-phishing vienen con temas tan variados como regulaciones de emisión de carbono, reserva de viajes y la pandemia de coronavirus en curso, y los documentos de Word tienen pancartas de ingeniería social que instan a los usuarios a habilitar macros en un intento por atraer a un usuario desprevenido para que descargue la puerta trasera.

Para lograr sus objetivos, el implante envía solicitudes de DNS a servidores de nombres (servidores que almacenan los registros de DNS) asociados con un dominio C2 malicioso, que luego devuelve el comando para que se ejecute en forma de respuesta incorporada. Tras la ejecución, los resultados se transmiten al servidor a través de un lote de solicitudes de DNS.

Además de aprovechar las cadenas de distribución basadas en macros y LNK para implementar el malware, DeathStalker empleó «trucos de ofuscación, ejecución y enmascaramiento para dificultar la detección o engañar a los objetivos que sienten curiosidad por lo que está sucediendo en sus computadoras», señaló Pierre Delcher de Kaspersky.

Las principales de ellas son las capacidades para ocultar el flujo de trabajo de ejecución maliciosa en las propiedades de objetos y formas incrustadas de Word y utilizar archivos de Ayuda HTML compilada (CHM) de Windows como archivos para archivos maliciosos.