Nuevo malware ofuscado dirigido a datos confidenciales
Los investigadores han descubierto un nuevo tipo de malware ofuscado diseñado específicamente para robar datos confidenciales de los ordenadores de las víctimas. El malware se distribuye a través de correos electrónicos de phishing que parecen legítimos pero contienen un enlace a un sitio web malicioso que descarga malware en el ordenador de la víctima.
"La mayoría de estos paquetes tenían nombres bien pensados, para confundir a propósito a la gente", dijo el investigador de seguridad y periodista Ax Sharma. Las líneas 50 y 54 que contienen un "objeto bytes" Python en hexadecimal están creando esencialmente un archivo binario Linux (ELF) que es un troyano Meterpreter generado por la herramienta de pentesting, Metasploit [análisis de VirusTotal]. El archivo está muy desprotegido y ofuscado, lo que dificulta su análisis. La carga útil de Meterpreter se ejecuta en memoria y permite al atacante obtener acceso shell a la máquina infectada.
Una vez instalado, el malware emplea diversas técnicas para evitar ser detectado, como cifrar su carga útil y emplear ofuscación de código. El malware también es capaz de eludir el software de seguridad y los cortafuegos haciéndose pasar por tráfico de red legítimo.
Los paquetes en cuestión son aptx, bingchilling2, httops y tkint3rs, que se descargaron unas 450 veces antes de ser eliminados. Mientras que aptx es un intento de imitar el códec de audio de Qualcomm del mismo nombre, httops y tkint3rs son errores ortográficos de https y tkinter, respectivamente.
El objetivo del malware es robar información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos financieros. Para capturar información sensible, también realiza capturas de pantalla y registra las pulsaciones del teclado.
A continuación, el código intenta crear/modificar el archivo de "claves autorizadas" en la carpeta ".ssh". Esto facilita aún más al atacante la instalación de una puerta trasera SSH en la máquina infectada, a la que podrá conectarse posteriormente.
El malware, según los investigadores, forma parte de una campaña más amplia para robar información sensible de organizaciones objetivo. Han aconsejado a las empresas que vigilen sus redes en busca de cualquier actividad sospechosa y que mantengan su software de seguridad actualizado con los últimos parches.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.