CostaBricks

CostaBricks es un cargador personalizado que se utiliza para entregar la versión de 32 bits del malware SombRAT Backdoor. Ambas herramientas son parte del arsenal de un grupo de hackers llamado CostaRicto que opera como mercenario a sueldo. Para CostaBricks, los piratas informáticos crearon una implementación única de un mecanismo de máquina virtual responsable de ejecutar un código de bytes incrustado que decodifica e inyecta la carga útil final en la memoria. Este mecanismo de máquina virtual está compuesto por objetos y clases de C ++ y tiene 20 instrucciones diferentes que cada una tiene entre cero y tres operandos. El propósito de este método es aumentar la ofuscación de las actividades amenazadoras realizadas por la amenaza. Otras medidas anti-análisis encontradas en la amenaza incluyen el código completo y no confuso de una aplicación legítima de código abierto llamada Blink. Este código nunca se ejecuta.

El código de bytes utilizado por CostaBricks se mantuvo idéntico en las diferentes muestras de la amenaza que fueron analizadas por los expertos en seguridad de información de BlackBerry. Tiene exactamente 1800 líneas de largo, pero la mayoría de ellas son simplemente pelusas que se han insertado con fines de ofuscación. La programación real del código de bytes es responsable de decodificar la carga útil del malware incrustado, cargarla en la memoria del sistema comprometido y luego ejecutarla. La carga útil se descifra mediante un algoritmo simétrico personalizado con claves codificadas que se pueden describir como una combinación de SHL / SHR / SUB / ADD / XOR.