Investigadores de ciberseguridad han revelado una nueva campaña que potencialmente tiene como objetivo a usuarios en el Medio Oriente a través de un malware que se disfraza como la herramienta de red privada virtual (VPN) GlobalProtect de Palo Alto Networks.
«El malware puede ejecutar comandos remotos de PowerShell, descargar y exfiltrar archivos, cifrar comunicaciones y eludir soluciones de sandbox, lo que representa una amenaza significativa para las organizaciones objetivo», dijo Mohamed Fahmy, investigador de Trend Micro, en un informe técnico.
Se ha observado que la muestra de malware sofisticado emplea un proceso de dos etapas e involucra la configuración de conexiones a infraestructura de comando y control (C2) que pretende ser un portal VPN de la empresa, lo que permite a los actores de la amenaza operar libremente sin activar ninguna alarma.
El vector inicial de intrusión para la campaña es actualmente desconocido, aunque se sospecha que implica el uso de técnicas de phishing para engañar a los usuarios haciéndoles creer que están instalando el agente de GlobalProtect. La actividad no ha sido atribuida a un actor o grupo de amenazas específico.
El punto de partida es un binario setup.exe que despliega el componente principal del backdoor llamado GlobalProtect.exe, que, cuando se instala, inicia un proceso de señalización que alerta a los operadores del progreso.
El ejecutable de primera etapa también es responsable de soltar dos archivos de configuración adicionales (RTime.conf y ApProcessId.conf) que se utilizan para exfiltrar información del sistema a un servidor C2 (94.131.108[.]78), incluyendo la dirección IP de la víctima, información del sistema operativo, nombre de usuario, nombre de la máquina y secuencia de tiempo de espera.
«El malware implementa una técnica de evasión para eludir el análisis de comportamiento y las soluciones de sandbox verificando la ruta del archivo del proceso y el archivo específico antes de ejecutar el bloque principal de código», señaló Fahmy.
El backdoor sirve como un conducto para cargar archivos, descargar cargas útiles de la siguiente etapa y ejecutar comandos de PowerShell. La señalización al servidor C2 se realiza mediante el proyecto de código abierto Interactsh.
«El malware cambia a una URL recién registrada, ‘sharjahconnect’ (probablemente en referencia al emirato Sharjah de los Emiratos Árabes Unidos), diseñada para parecerse a un portal VPN legítimo de una empresa con sede en los Emiratos Árabes Unidos», dijo Fahmy.
«Esta táctica está diseñada para permitir que las actividades maliciosas del malware se mezclen con el tráfico de red regional esperado y mejorar sus características de evasión.»