Lucky Mouse crea una versión para Linux del malware SysUpdate
Lucky Mouse, un grupo de ciberamenazas, ha creado una versión para Linux del malware denominada SysUpdate, lo que aumenta su capacidad para atacar dispositivos que utilicen este sistema operativo.
Esta última campaña, según los investigadores de Trend Micro, consistió en la distribución de variantes de SysUpdate para Linux y Windows contra diversos objetivos, entre ellos una empresa de juegos de azar con sede en Filipinas. Según los informes, el atacante registró el nombre de dominio más antiguo un mes antes de iniciar la configuración del C&C y luego esperó otro mes antes de compilar la muestra maliciosa vinculada a ese nombre de dominio.
Tanto la versión de Linux como la de Windows de SysUpdate tienen las mismas funciones de gestión de archivos y claves de cifrado de red. Los investigadores añadieron que los atacantes han añadido túneles DNS en la variante Linux del malware, lo que permite eludir cortafuegos y herramientas de seguridad de red.
Esta nueva versión es similar a la de 2021, con la excepción de que se han eliminado las clases C++ de información de tipos en tiempo de ejecución (RTTI) que vimos en 2021, y se ha cambiado la estructura del código para utilizar la biblioteca asíncrona ASIO C++. Ambos cambios alargan el tiempo necesario para aplicar ingeniería inversa a las muestras. Aconsejamos encarecidamente a las organizaciones y usuarios de los sectores afectados que refuercen sus medidas de seguridad para proteger sus sistemas y datos de esta campaña en curso.
Se desconoce el vector de infección exacto utilizado en el ataque, pero las pruebas sugieren que se utilizaron instaladores disfrazados de aplicaciones de mensajería como Youdu como señuelo para activar la secuencia de ataque. La versión para Windows de SysUpdate incluye funciones para gestionar procesos, hacer capturas de pantalla, realizar operaciones con archivos y ejecutar comandos arbitrarios. También puede comunicarse con servidores C2 a través de peticiones DNS TXT, un método conocido como DNS Tunneling.
Para cargar el proceso, el atacante ejecuta rc.exe, un archivo legítimo firmado "Microsoft Resource Compiler" , que es vulnerable a una vulnerabilidad de carga lateral de DLL, y carga un archivo llamado rc.dll. A continuación, el rc.dll malicioso carga un archivo llamado rc.bin en la memoria. El archivo rc.bin contiene shellcode codificado en Shikata Ga Nai para descomprimir y cargar la primera etapa en la memoria. Se realizan diferentes acciones dependiendo del número de parámetros de la línea de comandos.
Algunas de estas acciones incluyen el uso de cero o dos parámetros para instalar el malware en el sistema y luego volver a llamar a la Etapa 1 utilizando el vaciado de procesos con cuatro parámetros. Un parámetro que es igual que la acción anterior pero no requiere instalación. Y los cuatro parámetros que generan una sección de memoria que contiene la configuración del malware cifrada con DES, así como una segunda etapa 2 de descompresión y carga de shellcode Shikata Ga Nai. A continuación, pasa a la etapa 2 a través del vaciado del proceso.
El paso de "instalación", en el que el malware transporta los archivos a una carpeta codificada, se considera sencillo. Dependiendo de los privilegios del proceso, el malware genera una clave de registro o un servicio que inicia el ejecutable reubicado rc.exe con un único parámetro. Esto garantiza que el malware se inicie durante el siguiente reinicio, saltándose la fase de instalación.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.