Después de revelar completamente sus secretos el mes pasado en un informe de Microsoft , los operadores del malware sLoad han puesto en circulación una versión 2.0 renovada a principios de este mes.
Esta nueva versión de sLoad (también conocida como Starslord) no cambia mucho, pero el hecho de que la pandilla de sLoad haya enviado una nueva versión en menos de un mes después de haber expuesto sus operaciones muestra la velocidad a la que los autores de malware a menudo operan.
La operación de malware sLoad
El malware sLoad no es algo nuevo. Es una cepa de malware que existe desde hace años . El malware es lo que alguien llamaría un "descargador de malware" o "dropper de malware".
El objetivo principal de sLoad es infectar PC con Windows, recopilar información sobre el sistema que infectaron, enviar esta información a un servidor de comando y control (C&C) y luego esperar las instrucciones para descargar e instalar una segunda carga útil de malware.
El malware existe para servir como un sistema de entrega de cepas de malware más potentes y para ayudar a la pandilla sLoad a ganar dinero al proporcionar espacio de pago por instalación para otras operaciones cibercriminales (por ejemplo , como la pandilla de troyanos bancarios Ramnit ).
Los descargadores de malware como sLoad son una moneda de diez centavos por docena. Sin embargo, según Microsoft, sLoad fue uno de los pocos descargadores de malware que se destacó debido a un nivel innecesario de sofisticación y su uso de técnicas no estándar.
La obsesión de sLoad BITS
Según un informe de Microsoft de diciembre de 2019, sLoad se había convertido en una de las pocas cepas de malware que portaba todos sus sistemas de comunicaciones host-servidor al servicio Windows BITS.
Para aquellos que no están familiarizados con el término, Windows BITS es el sistema predeterminado a través del cual Microsoft envía actualizaciones de Windows a usuarios de todo el mundo. El servicio BITS funciona detectando cuándo el usuario no está utilizando su conexión de red y utilizando este tiempo de inactividad para descargar actualizaciones de Windows.
Pero el servicio BITS no está completamente reservado para el proceso de actualización de Windows. Otras aplicaciones pueden acceder a BITS y usarlo para programar tareas y operaciones de red que se realizarán cuando la conexión de red de la computadora quede inactiva.
Los autores de sLoad parecen ser algunos de los mayores admiradores de este servicio. Microsoft dice que la pila de red completa del malware se configuró para funcionar a través del servicio BITS de Windows de un host infectado.
El malware configuraría tareas programadas de BITS que se ejecutarían a intervalos regulares. Estas tareas se utilizarían para hablar con su servidor C&C, descargar cargas secundarias de malware e incluso enviar datos desde un host infectado de vuelta al servidor C&C (sLoad v1.0 incluía la capacidad de tomar capturas de pantalla de un host infectado).
Mientras que otro malware, como Win32 / StealthFalcon , Zlob.Q , UBoat RAT , Rustock y Linkoptimizer , también usaban BITS, sLoad se basó en él para casi todas las comunicaciones, lo que lo convierte en una entrada única en el panorama del malware.
Además, además de usar comunicaciones BITS silenciosas, sLoad también se basó en gran medida en el lenguaje de secuencias de comandos PowerShell, que utilizaba para admitir un modo de "ejecución sin archivos" en el que se ejecutaba completamente dentro de la RAM, sin colocar artefactos en el disco.
La necesidad de cambiar el modus operandi
El informe de Microsoft del mes pasado expuso las capacidades de sLoad y aumentó la conciencia entre los proveedores de ciberseguridad sobre el modus operandi del malware.
Las exposiciones como estas son peligrosas para las pandillas de malware, ya que podrían significar que sus cargas maliciosas se detectan con mayor frecuencia. En la mayoría de los casos, la mayoría de las pandillas de malware actualizan o modifican las operaciones, con la esperanza de estar un paso por delante de los proveedores de ciberseguridad.
La pandilla sLoad hizo exactamente esto. En unas pocas semanas, renovaron su código y cambiaron las cosas, enviando un nuevo sLoad v2.0 a partir de este año.
Sin embargo, si la pandilla sLoad esperaba estar un paso por delante de Microsoft, no tuvieron éxito, ya que la compañía publicó hoy otra exposición que detalla la nueva v2.0 en una profundidad similar a la v1.0 el mes pasado.
Según Sujit Magar, analista de malware que forma parte del equipo de investigación ATP de Microsoft Defender, sLoad 2.0 se ha mantenido en gran medida igual, sigue utilizando BITS exclusivamente para todas las operaciones de red, sigue confiando en los scripts de PowerShell para la ejecución sin archivos y sigue trabajando como descargador de malware para otros grupos criminales.
Lo único que cambió fue el uso de scripts WSF en lugar de scripts VB durante el proceso de infección, la adición de controles para detectar si los analistas de malware están mirando el código y el lanzamiento de un nuevo sistema que rastrea las etapas de una infección sLoad .
De estas tres nuevas incorporaciones, la última es la más novedosa, no se ve en otras cepas de malware. Este nuevo mecanismo funciona agregando un pequeño valor numérico al final de un trabajo BITS que se comunica con el servidor C&C.
El valor numérico le dice al equipo de sLoad la etapa de una infección de sLoad. El propósito de esta función puede variar. Magar cree que esto podría usarse para organizar los hosts sLoad en subgrupos y luego enviar comandos a hosts específicos infectados con sLoad.
Otro propósito podría ser que esta característica se agregara con fines de depuración, en caso de que la nueva versión de sLoad se bloquee o se detenga en una etapa en particular, permitiendo que el equipo de sLoad envíe comandos a las infecciones de sLoad bloqueadas y repare cualquier error.
De cualquier manera, Microsoft parece estar al tanto de las actualizaciones recientes de sLoad, y su último informe técnico también debería ayudar a otros proveedores a detectar esta nueva versión.
0 Comentarios