BendyBear

Los investigadores de Palo Alto Networks han detectado una nueva amenaza de malware altamente sofisticada. La amenaza se denominó BendyBear porque existen fuertes vínculos entre ella y WaterBear, que es un malware modular utilizado en una campaña de ataque que ha estado en marcha desde al menos 2009. Aunque WaterBear se ha clasificado como un implante con una amplia gama de funcionalidades amenazantes como manipulación y exfiltración de archivos, acceso al shell, capturador de capturas de pantalla y más, ni siquiera se acerca a las capacidades de BendyBear.

 Los investigadores de infosec que analizaron BendyBear lo describen como el malware chino más sofisticado que se ha creado hasta ahora. También atribuyen la liberación de la amenaza de malware al grupo de ciberespionaje BlackTech que ha estado llevando a cabo campañas de ataque contra entidades tecnológicas y agencias gubernamentales en el este de Asia.

 Cuando se implementa en la computadora del objetivo, BendyBear actúa como un implante de etapa cero encargado de entregar una carga útil más robusta de la siguiente etapa. Como tal, el objetivo de los atacantes es mantener la amenaza lo más oculta posible. Puede parecer contradictorio entonces que con más de 10, 000 bytes de código de máquina, BendyBear sea considerablemente más grande que otras amenazas del mismo tipo. Sin embargo, el tamaño más grande ha permitido a los piratas informáticos empaquetar su herramienta de malware con una plétora de técnicas complejas para evitar la detección y el análisis.

 Funciones sofisticadas de sigilo y detección-evasión

 La amenaza posee una estructura muy maleable. Realiza comprobaciones en busca de signos de herramientas anti-depuración e intenta evitar la detección estática a través de un código independiente de la posición. Cada sesión de comunicación con la infraestructura de Comando y Control (C2, C&C) de la campaña va acompañada de la generación de una clave de sesión única. Para ocultar el tráfico anormal que crea, BendyBear intenta integrarse con el tráfico normal de la red SSL utilizando un puerto común (443).

 Para el cifrado, BendyBear emplea un cifrado RC4 modificado. Otros aspectos únicos de la amenaza son el código polimórfico que le permite cambiar su huella de tiempo de ejecución durante la ejecución del código y la capacidad de realizar la verificación del bloque de firmas. Para almacenar sus datos de configuración, BendyBear aprovecha una clave de registro ya existente que está habilitada de forma predeterminada en los sistemas Windows 10. Para minimizar aún más los rastros que deja, la amenaza carga las cargas útiles de la siguiente etapa en la memoria del sistema comprometido directamente sin dejarlas caer en el disco.

 BendyBear es difícil de detectar excepcionalmente y las organizaciones deben permanecer atentas para detectar el ataque en sus primeras etapas.