Malware de PowerPepper
PowerPepper es una nueva amenaza de malware de puerta trasera observada como parte de las operaciones de un grupo de amenazas persistentes avanzadas (APT) llamado DeathStalker. Se cree que esta APT en particular actúa como mercenario y ofrece sus servicios al mejor postor. El grupo se detectó por primera vez en 2018, pero se cree que se estableció mucho antes. Los hackers de DeathStalker se especializan principalmente en realizar campañas de espionaje y robo de datos dirigidas a entidades de Europa. Sin embargo, también se han identificado víctimas de DeathStalker de América del Norte y del Sur, así como de Asia. El conjunto de herramientas de malware del grupo consiste comparativamente en amenazas no tan sofisticadas, pero exhibe altos niveles de eficacia.
PowerPepper se ajusta bastante bien a esa descripción. La amenaza es capaz de realizar potentes actividades de puerta trasera, ya que puede ejecutar comandos de shell remotos recibidos de su infraestructura de Comando y Control (C&C, C2). La amenaza puede ejecutar una amplia gama de funciones de espionaje en la máquina comprometida, incluida la recolección de información de archivos y usuarios diversos, la exploración de recursos compartidos de archivos de red, la obtención de binarios corruptos adicionales y la filtración de la infraestructura C2 de datos. Se cree que el vector de compromiso inicial es la distribución de correos electrónicos de spear-phishing. Los archivos de malware iniciales pueden adjuntarse al cuerpo del correo electrónico u ocultarse detrás de enlaces corruptos.
El aspecto más impresionante de PowerPepper es la multitud de técnicas de evasión que tiene a su disposición. Primero, omite HTTPS y en su lugar usa DNS como canal de comunicación con sus servidores C2. El malware envía solicitudes de DNS de tipo TXT y, a cambio, recibió una respuesta de DNS con un comando cifrado incrustado. PowerPepper también aprovecha una técnica de esteganografía: partes del código corrupto de la amenaza están ocultas dentro de archivos de imagen aparentemente inocuos. Los utilizados por la amenaza representan helechos o pimientos (la razón del nombre dado a esta puerta trasera en particular). El script del cargador encargado de extraer la información de los archivos de imagen, a su vez, se hace pasar por una herramienta de verificación de GlobalSign, un proveedor de servicios de identidad.
Además, PowerPepper emplea ofuscación personalizada, comunicación encriptada y aprovecha los scripts firmados que podrían engañar al software anti-malware. DeathStalker también ha equipado su nueva herramienta de puerta trasera para filtrar las direcciones MAC de los clientes, el manejo de aplicaciones de Excel y una función responsable de detectar el movimiento del mouse.
