Software malicioso DownEx

Según los investigadores de infosec, las organizaciones gubernamentales de Asia Central se han convertido en el centro de una campaña de espionaje compleja y específica. Esta operación utiliza un nuevo tipo de malware llamado DownEx, que antes era desconocido para los expertos. Hasta el momento, los ataques no se han atribuido a una APT (Amenaza Persistente Avanzada) específica o a un grupo de ciberdelincuentes, pero la evidencia apunta a la participación de actores con sede en Rusia.

El primer incidente informado relacionado con el malware DownEx ocurrió en Kazajstán, donde se lanzó un ataque altamente dirigido contra instituciones gubernamentales extranjeras a fines de 2022. Posteriormente se observó otro ataque en Afganistán. El uso de un documento con un tema diplomático para atraer a las víctimas y el enfoque de los atacantes en recopilar datos confidenciales sugiere fuertemente la participación de un grupo patrocinado por el estado. Sin embargo, la identidad del equipo de piratería aún no ha sido confirmada. La operación aún está en curso y pueden ocurrir más ataques, advierten los investigadores de Bitdefender, quienes publicaron un informe sobre la amenaza y su actividad de ataque asociada.

La cadena de ataques de malware de DownEx comienza con mensajes señuelos

Se sospecha que el medio inicial de intrusión para la campaña de espionaje involucró un correo electrónico de phishing dirigido con una carga útil amenazante. Dicha carga útil es un ejecutable del cargador disfrazado de documento de Microsoft Word. Una vez que se abre el archivo adjunto, se extraen dos archivos, uno de los cuales es un documento falso que se muestra a la víctima como señuelo. Al mismo tiempo, se ejecuta en segundo plano un archivo de aplicación HTML (.HTA) malicioso que contiene código VBScript.

El archivo HTA está diseñado para establecer contacto con un servidor remoto de comando y control (C2, C&C) para obtener la carga útil de la siguiente etapa. La naturaleza exacta de esta herramienta de malware aún no se ha revelado, pero se cree que es una puerta trasera encargada de establecer la persistencia en el sistema violado. Esto sugiere que la campaña está siendo llevada a cabo por un actor de amenazas altamente organizado y sofisticado, muy probablemente un grupo patrocinado por el estado, con un enfoque en la exfiltración de datos de instituciones gubernamentales extranjeras.

Herramientas de amenazas adicionales implementadas junto con el malware DownEx

Se han observado dos versiones diferentes de DownEx Malware. La primera variante utiliza un VBScript intermedio para recopilar y enviar archivos a un servidor remoto en forma de archivo ZIP. La segunda variante se descarga a través de un script VBE llamado slmgr.vibe y usa VBScript en lugar de C++. A pesar de los diferentes lenguajes de programación, la segunda versión conserva las mismas capacidades maliciosas que la primera.

La segunda variante de DownEx Malware emplea una técnica de ataque sin archivos. Esto significa que el script de DownEx se ejecuta solo en la memoria y nunca toca el disco del dispositivo infectado. Esta técnica destaca la creciente sofisticación de los ciberataques modernos y muestra que los ciberdelincuentes están desarrollando nuevos métodos para que sus ataques sean más efectivos y difíciles de detectar.