GorriónPuerta

SparrowDoor es la principal amenaza utilizada por un grupo APT (Advanced Persistent Threat) recientemente descubierto y que se rastrea como FamousSparrow . Los piratas informáticos parecen apuntar a hoteles de todo el mundo con la intención de desviar datos. En ocasiones distintas, FamousSparrow también ha comprometido empresas de ingeniería, bufetes de abogados y organizaciones gubernamentales.

El despliegue de SparrowDoor

La puerta trasera SparrowDoor se entrega a la máquina de la víctima a través de un cargador que emplea el secuestro de DLL. El cargador utiliza tres elementos: un archivo ejecutable legítimo de K & Computing (Indexer.exe), un archivo DLL dañado (K7UI.dll) y un shellcode cifrado (MpSvc.dll). Los tres se colocan en la carpeta% PROGRAMDATA% \ Software \.

Para establecer la persistencia, SparrowDoor se basa en una clave de ejecución del registro y un servicio creado y lanzado utilizando los datos de configuración codificados en el binario del malware. Luego, intenta escalar sus privilegios ajustando el token de acceso de su proceso. El paso final incluye enviar datos del sistema al servidor de Comando y Control (C2, C&C) y luego esperar los comandos entrantes.

Funcionalidad amenazante

SparrowDoor reconoce más de 10 comandos diferentes. Puede manipular el sistema de archivos en la máquina comprometida, creando, renombrando y borrando archivos. También puede filtrar varios datos al servidor, incluida la información del archivo (atributos del archivo, tamaño del archivo y tiempo de escritura del archivo) y el contenido de los archivos especificados. El malware puede terminar los procesos actuales y establecer un shell inverso interactivo. Si los piratas informáticos necesitan enmascarar sus rastros, pueden indicarle a SparrowDoor que elimine su mecanismo de persistencia y elimine sus archivos.