Malware HTTPSnoop

Una ola de ciberataques dirigida a proveedores de servicios de telecomunicaciones en Medio Oriente se ha relacionado con el despliegue de nuevas cepas de malware conocidas como HTTPSnoop y PipeSnoop. Estas herramientas amenazantes permiten a los actores de amenazas obtener control remoto sobre los dispositivos comprometidos.

El malware HTTPSnoop aprovecha los dispositivos y controladores del kernel HTTP de Windows para ejecutar contenido específico en puntos finales infectados a través de URL HTTP(S). Por otro lado, PipeSnoop está diseñado para recibir y ejecutar códigos de shell arbitrarios a través de una canalización con nombre.

Según un informe emitido por investigadores de ciberseguridad que descubrieron con éxito esta campaña de ataque, tanto HTTPSnoop como PipeSnoop se atribuyen al mismo grupo de intrusión, identificado como 'ShroudedSnooper'. Sin embargo, las dos amenazas tienen propósitos operativos distintos en términos de su nivel de infiltración.

El malware HTTPSnoop realiza acciones especializadas para los atacantes

HTTPSnoop emplea API de Windows de bajo nivel para monitorear el tráfico HTTP(S) en un dispositivo infectado, específicamente dirigido a URL predefinidas. Al detectar estas URL, el malware procede a decodificar los datos entrantes codificados en base64 y los ejecuta como un código shell en el host comprometido.

Este implante inseguro, activado en el sistema de destino mediante el secuestro de DLL, comprende dos componentes clave: primero, el código shell de etapa 2, responsable de configurar un servidor web de puerta trasera a través de llamadas al kernel, y segundo, su configuración.

HTTPSnoop establece un bucle de escucha, espera pacientemente las solicitudes HTTP entrantes y procesa de manera eficiente los datos válidos cuando llegan. En los casos en que los datos entrantes no sean válidos, el malware devuelve una redirección HTTP 302.

Una vez descifrado el shellcode recibido, se ejecuta de inmediato y los resultados de la ejecución se transmiten a los atacantes en forma de bloques de datos codificados en base64 con codificación XOR.

Además, este implante toma precauciones para evitar conflictos con las URL previamente configuradas en el servidor, lo que garantiza un funcionamiento fluido y sin conflictos involuntarios.

Los expertos han descubierto varias variantes del malware HTTPSnoop

Hay tres variantes distintas de HTTPSnoop observadas hasta ahora y cada una emplea patrones de escucha de URL únicos. La primera variante monitorea solicitudes generales HTTP basadas en URL, mientras que la segunda variante se centra en URL que imitan el servicio web de Microsoft Exchange. La tercera variante, mientras tanto, apunta a URL que emulan LBS/OfficeTrack y aplicaciones de telefonía de OfficeCore.

Estas variantes se descubrieron en abril de 2023 y, en particular, la más reciente tiene una cantidad reducida de URL que monitorea, lo que probablemente mejore sus capacidades de sigilo.

Al imitar patrones de URL legítimos asociados con los servicios web de Microsoft Exchange y OfficeTrack, estas solicitudes fraudulentas se parecen mucho al tráfico benigno, lo que hace extremadamente difícil distinguirlas de las solicitudes legítimas.

El panorama en constante evolución del malware plantea una amenaza formidable y persistente en nuestra era digital. El malware no es simplemente una molestia sino un adversario formidable capaz de causar estragos en individuos, organizaciones e incluso naciones. La vigilancia, la educación y las sólidas medidas de ciberseguridad son nuestras mejores defensas contra esta amenaza implacable. Mantenerse informado y adoptar las mejores prácticas en seguridad en línea no es sólo una elección; es una necesidad para salvaguardar nuestras vidas digitales y preservar la integridad de nuestro mundo interconectado.