Durante el último año y pico, hemos supervisado una serie de eventos que comparten una serie de atributos generales:
-
Malware que se hace pasar por aplicaciones de software legítimas, las subvierte y se incrusta en ellas
-
Código de cargador independiente de la posición (PIC) inyectado cerca de los puntos de entrada del paquete, sobrescribiendo el código original
-
Cargas maliciosas cifradas insertadas como recurso adicional
-
Uso de un algoritmo de cifrado simple (XOR), con una clave estática que utiliza caracteres ASCII
-
Cargas útiles pertenecientes a RAT (troyanos de acceso remoto) comunes o familias de ladrones de credenciales/información.
-
Archivos protegidos con contraseña alojados en Google Drive (en una cuenta comprometida) y enlazados desde el correo electrónico.
Finalmente, llegamos a la conclusión de que todos estos casos estaban relacionados con lo que se ha dado en llamar la operación HeartCrypt packer-as-a-service (PaaS). Tras publicar varios artículos sobre investigaciones específicas, en esta entrada profundizamos en nuestros hallazgos acumulativos y echamos un vistazo al malware como una plaga incipiente.
La industria estaba atenta
A lo largo del proceso, hubo pruebas creíbles de que estos ataques podían atribuirse a un único actor malicioso. En un momento dado, se pensó que HeartCrypt era un producto del grupo que CrowdStrike denomina «Blind Spider», cuyos objetivos coincidían en parte con los casos que analizamos. Sin embargo, al final, había suficientes diferencias (diferentes cargas útiles, diferentes mecanismos de inyección de cargas útiles, diferentes ubicaciones objetivo) para que pudiéramos discernir que estos esfuerzos pertenecían a múltiples actores maliciosos. Y, por supuesto, Sophos no era el único que lo investigaba; el escrutinio de este PaaS ha venido de muchos sectores a lo largo de su implementación, en particular un excelente primer informe de CrowdStrike.
En otras palabras, el conjunto de datos acumulados de estos ataques no es pequeño. A lo largo de las investigaciones de Sophos, evaluamos literalmente miles de muestras, vislumbramos casi 1000 servidores de comando y control (C2), identificamos más de 200 proveedores de software suplantados, grandes y pequeños, vimos países de todos los hemisferios como objetivos y escribimos sobre ello. Y aunque HeartCrypt es prácticamente un tema trillado en los círculos de seguridad de la información —los autores de este artículo están hablando en el Virus Bulletin de esta semana sobre los «asesinos de EDR» que están surgiendo, basándose en parte en lo que nos revelaron estos datos—, HeartCrypt sigue causando dolores de cabeza en todo el mundo. Echar un vistazo a los detalles puede ayudar a aclarar cómo y por qué.
Lee el artículo completo en inglés siguiendo este enlace.
