CASHY200

CASHY200 es el nombre dado por los investigadores a una amenaza de puerta trasera basada en PowerShell. Este malware en particular se detectó debido a su infraestructura de Comando y Control (C2, C&C) que utiliza un dominio, 'windows64x.com', que se observó que formaba parte de una campaña de ataque contra organizaciones de Kuwait de las industrias del transporte y el envío anteriormente. El perfil de los objetivos también parece ser en gran medida el mismo, pero esta vez las víctimas eran organizaciones gubernamentales de Kuwait. Aunque las superposiciones parecen ser demasiado específicas para ser accidentales, no es posible afirmar con un 100% de seguridad que los mismos actores de amenazas también son los piratas informáticos detrás de CASHY200.

El vector de infección utilizado para entregar CASHY200 es probablemente documentos de Word armados que se propagan a través de la difusión de correos electrónicos de phishing. Los documentos amenazantes usaban varios nombres diferentes en árabe, mientras que uno se entregó como 'Lista de actualización soft-Ad.docm'.

Cuando se implementa en la computadora de destino, CASHY200 inicia la comunicación con sus servidores C2 a través de un túnel DNS. Más específicamente, la amenaza emite consultas DNS A al servidor del atacante. El tráfico entrante se analiza dentro de las respuestas de DNS para los comandos aplicables, mientras que los resultados posteriores se devuelven a los servidores nuevamente a través de consultas de DNS. Se ha observado que CASHY200 utiliza modificadores generados aleatoriamente almacenados en el Registro en HKCU \ Software \ Microsoft \ Cashe \ index.

Las versiones posteriores de CASHY200 pueden reconocer dos comandos separados emitidos por los servidores C2. El primero ve que la amenaza ejecuta el comando 'hostname' y luego exfiltra el resultado. El otro comando posible le dice a CASHY200 que ejecute comandos obtenidos de consultas DNS posteriores, y los resultados una vez más se exfiltran al C2 a través del túnel DNS.