Nueva campaña del malware Blister apunta sigilosamente a Windows

Investigadores han descubierto una campaña de malware que utiliza certificados de firma de código válidos en sistemas Windows para permanecer ocultos. El cargador de malware, llamado Blister, además implementa cargas útiles de segunda etapa en la memoria.

La campaña de malware en curso se ha estado ejecutando desde al menos el 15 de septiembre.

Según Elastic Security, las muestras de malware identificadas tienen una detección muy baja o nula en VirusTotal. El atacante ha utilizado un certificado de firma de código válido desde el 23 de agosto.

Fue emitido por Sectigo para una corporación llamada Blist LLC con una dirección de correo electrónico de Mail.Ru, el proveedor de correo electrónico ruso.

Los atacantes han empleado numerosas técnicas para ocultar sus ataques o pasar desapercibidos.

Una de esas tácticas fue insertar el malware Blister en una biblioteca genuina (colorui [.] Dll). Luego, el malware se ejecuta con privilegios elevados mediante el comando rundll32.

Los archivos se firman con un certificado válido y se entregan con privilegios de administrador para evitar la detección. Además, el malware se descodifica a partir del código de arranque de la sección de recursos, que está muy ofuscado. Durante diez minutos, el código permanece estático, lo que es un intento de evitar el análisis de espacio aislado.

Después de realizar los pasos mencionados anteriormente, descifra las cargas útiles integradas como Cobalt Strike y BitRAT. Los investigadores han descubierto versiones firmadas y sin firmar del cargador Blister. Ambos tenían una tasa de detección muy baja con motores antivirus en el servicio de escaneo VirusTotal.

El malware obtiene persistencia utilizando una copia en la carpeta ProgramData y haciéndose pasar por rundll32 [.] Exe. Se agrega a la ubicación de inicio para que se inicie en cada inicio, como un elemento secundario de explorer [.] Exe.