Sin categoría

Nueva campaña del malware Blister apunta sigilosamente a Windows

diciembre 31, 2021
Investigadores han descubierto una campaña de malware que utiliza certificados de firma de código válidos en sistemas Windows para permanecer ocultos. El cargador de malware, llamado Blister, además implementa cargas útiles de segunda etapa en la memoria. La campaña de malware en curso se ha estado ejecutando desde al menos el 15 de septiembre. Según […]

Investigadores han descubierto una campaña de malware que utiliza certificados de firma de código válidos en sistemas Windows para permanecer ocultos. El cargador de malware, llamado Blister, además implementa cargas útiles de segunda etapa en la memoria.

La campaña de malware en curso se ha estado ejecutando desde al menos el 15 de septiembre.

Según Elastic Security, las muestras de malware identificadas tienen una detección muy baja o nula en VirusTotal. El atacante ha utilizado un certificado de firma de código válido desde el 23 de agosto.

Fue emitido por Sectigo para una corporación llamada Blist LLC con una dirección de correo electrónico de Mail.Ru, el proveedor de correo electrónico ruso.

Los atacantes han empleado numerosas técnicas para ocultar sus ataques o pasar desapercibidos.

Una de esas tácticas fue insertar el malware Blister en una biblioteca genuina (colorui [.] Dll). Luego, el malware se ejecuta con privilegios elevados mediante el comando rundll32.

Los archivos se firman con un certificado válido y se entregan con privilegios de administrador para evitar la detección. Además, el malware se descodifica a partir del código de arranque de la sección de recursos, que está muy ofuscado. Durante diez minutos, el código permanece estático, lo que es un intento de evitar el análisis de espacio aislado.

Después de realizar los pasos mencionados anteriormente, descifra las cargas útiles integradas como Cobalt Strike y BitRAT. Los investigadores han descubierto versiones firmadas y sin firmar del cargador Blister. Ambos tenían una tasa de detección muy baja con motores antivirus en el servicio de escaneo VirusTotal.

El malware obtiene persistencia utilizando una copia en la carpeta ProgramData y haciéndose pasar por rundll32 [.] Exe. Se agrega a la ubicación de inicio para que se inicie en cada inicio, como un elemento secundario de explorer [.] Exe.

blisterwindows

Comparte este Artículo

Artículos relacionados

Sin categoría
El ransomware Ech0raix apunta a dispositivos NAS de QNAP
 31 de diciembre de 2021

Se reveló que el grupo de ransomware eCh0raix ha establecido como objetivo los dispositivos de almacenamiento conectados a la red (NAS) de QNAP.
Sin categoría
El ransomware AvosLocker sorprende con nuevas tácticas de ataque
 31 de diciembre de 2021

AvosLocker, una familia de ransomware relativamente nueva, está aumentando sus ataques mientras adopta nuevas tácticas para evadir el software de seguridad. Observado por primera vez en el mes de julio, el grupo ahora está usando AnyDesk en modo seguro de Windows para apuntar a sus víctimas.