Los investigadores de SafeBreach identificaron la puerta trasera, que dicen que pasó desapercibida en todos los principales programas antivirus. Se descubre un backdoor en PowerShell indetectable que se esconde como una actualización de Windows.
La firma de seguridad cibernética SafeBreach advirtió sobre una puerta trasera PowerShell totalmente indetectable (FUD) que utiliza una metodología de ataque novedosa.
La vulnerabilidad, que los investigadores descubrieron en la naturaleza, usa un script de PowerShell para crear una tarea programada en el sistema de la víctima. Lo disfrazaba como una actualización de Windows. Para mejorar el engaño, la tarea ejecuta un script llamado ‘updater.vbs’ desde una carpeta de actualización falsa. Ésta estaba ubicada en la carpeta de datos de la aplicación de la víctima.
SafeBreach señaló que este nuevo vector de ataque lo hace particularmente peligroso. Esto es porque el agregador de antivirus VirusTotal descubrió que el ataque podía eludir todo el software de seguridad probado. Por lo tanto, la puerta trasera ha sido marcada como FUD en una publicación de blog de SafeBreach.
Se descubre un backdoor en PowerShell indetectable que se esconde como una actualización de Windows
Los ataques se originan con un documento de Word, llamado ‘Apply Form.docm’, que contiene un código de macro que implementa un script malicioso de PowerShell. Los investigadores identificaron que el documento se creó en agosto de 2022 en Jordania. Los metadatos del archivo, que contienen el término «Solicitud de empleo basada en LinkedIn», sugieren un enlace a las campañas de phishing que han visto un aumento en LinkedIn en 2022.
Antes de la ejecución de la secuencia de comandos de actualización, se crean dos secuencias de comandos de PowerShell separadas denominadas ‘Script.ps1’ y ‘Temp.ps1’. Su contenido se almacena en forma ofuscada dentro de cuadros de texto en el documento de Word. Script1.ps1. Se utiliza para establecer una conexión con el servidor de comando y control (C2) del operador malicioso, buscando comandos para ejecutar.
Los comandos se envían en forma de cadenas cifradas con estándar de cifrado avanzado (AES) 256 CBC, que luego se descifran a través de la aplicación web CyberChef creada por GCHQ.
Los comandos comienzan con un valor de 0, 1 o 2, cada uno de los cuales invoca diferentes respuestas del script Temp.ps1. Aquellos que comienzan con 0 se ejecutarán, con la salida luego encriptada usando la misma clave y cargada a una URL a través del C2. Los comandos que comienzan con 1 se leen desde una ruta designada a través de C2 y se ejecutan, mientras que los que comienzan con 2 se escriben en una ruta designada y se ejecutan.
Código malicioso camuflado
Los investigadores de SafeBreach identificaron la URL exacta a la que se conecta el script mediante una solicitud HTTP GET. Cuando se contacta por primera vez, esto devuelve una identificación de víctima única. La primera prueba realizada por el equipo arrojó el número 70, lo que llevó a la conclusión de que aproximadamente 69 víctimas se han visto afectadas por la puerta trasera hasta el momento. A través de la falla de codificación de estas identificaciones predecibles, los investigadores escribieron un guión actuando como cada víctima anterior y registraron los comandos C2 recibidos.
Con base en esta información, SafeBreach descubrió que el 66% de los comandos enviados hasta ahora han sido solicitudes de exfiltración de datos. Mientras tanto, una minoría ha buscado eliminar archivos de las carpetas públicas de las víctimas, enumerar archivos en sus carpetas especiales o devolver su dirección IP.
SafeBreach agregó cobertura para esta puerta trasera en su plataforma de seguridad y enumeró todos los IOC y los scripts de PowerShell que descubrió en su publicación de blog que declara el riesgo.