Malware de Foudre

Malware de Foudre Descripción

Foudre Malware es una herramienta amenazante escrita en Delphi. El Foudre Malware es parte del arsenal de lo que se cree que es un actor de APT (Advanced Persistent Threat) respaldado por Irán llamado Infy. La evidencia sugiere que este grupo de piratas informáticos ha estado activo desde al menos 2007. Los ciberdelincuentes llevaron a cabo operaciones activas durante años hasta que un intento de eliminación por parte de investigadores de seguridad los obligó a permanecer inactivos.

Ahora, se ha descubierto una nueva campaña de ataque atribuida a Infy. La operación se ha realizado durante varios años y emplea nuevas herramientas y técnicas de malware. Parece que los piratas informáticos Infy están tratando de mantener un perfil bajo con sus actividades. El grupo de entidades objetivo parece coherente con sus empresas anteriores con la notable exclusión de cualquier víctima iraní.

Una de las nuevas armas empleadas por los piratas informáticos es el Foudre Malware. Foudre Malware actúa como una carga útil de etapa intermedia encargada de entregar la amenaza de malware final en los sistemas comprometidos. El Foudre Malware infecta a sus objetivos al esconderse dentro de documentos diseñados para atraer a las víctimas para que los abran. Los documentos amenazantes generalmente están escritos en persa en su totalidad, con dos muestras observadas que hablan sobre el gobernador de la ciudad de Dorud en la provincia de Lorestán, Irán, o pretendiendo ser enviados por ISAAR, la Fundación de Asuntos de Mártires y Veteranos patrocinada por el gobierno iraní. La agencia ISAAR ofrece préstamos a los veteranos discapacitados del país y sus familias.

Cuando la víctima abre el documento de señuelo, se activa una macro amenazante que suelta un archivo autoextraíble en el directorio temporal de la computadora como fwupdate.temp. Cabe señalar que la macro se ejecuta cuando la víctima cierra el documento. Cuando se implementa Foudre, intenta establecer una conexión con su servidor de Comando y Control (C2, C&C). Foudre autentica el servidor C2 descargando un archivo de firma. Tras la verificación exitosa, el malware busca actualizaciones disponibles al intentar descargar un segundo archivo de firma. Finalmente, procede a eliminar la carga útil de la etapa final, una amenaza de malware llamada Tonnerre Malware.

Durante el lapso de esta última explosión de actividad de los piratas informáticos Infy, los investigadores de infosec han logrado observar la implementación de múltiples versiones diferentes de Foudre Malware. Si bien en su mayor parte, estas versiones incluyen solo modificaciones técnicas menores, como diferentes nombres de ventanas, nombres de funciones de exportación y cadenas, las versiones más recientes contienen algunas mejoras clave.

Foudre Malware ha sido equipado con un algoritmo de generación de dominio actualizado que podría dificultar un poco la detección de la amenaza si los proveedores de seguridad intentan detectarla utilizando DGA previamente descubierto. Para protegerse mejor de los intentos de eliminación, Infy ahora incluye en sus herramientas de malware una rutina de verificación C2 RSA.