Malware SLUB
SLUB Malware es una amenaza de puerta trasera escrita en lenguaje C ++. Su nombre proviene de la combinación de Slack y GitHube, ambos servicios legítimos que fueron abusados por la amenaza como parte de su infraestructura de Comando y Control. SLUB abusa de varias vulnerabilidades como vector de ataque para obtener acceso a las computadoras objetivo. La cadena de ataque es compleja e incluye múltiples etapas y cargas útiles.
Después de explotar una vulnerabilidad como punto de acceso con éxito, un archivo DLL que funciona como cargador se coloca en el dispositivo comprometido. Este descargador de primera etapa se ejecuta luego a través de PowerShell para entregar la carga útil real de SLUB Malware. El cargador también realiza una verificación de los programas anti-malware instalados en el dispositivo de destino al escanearlo en una lista predefinida. Si se encuentra una coincidencia, el malware detiene su ejecución.
Una vez implementado por completo, SLUB Malware otorga un control significativo del dispositivo a los piratas informáticos. Luego pueden emitir comandos arbitrarios para realizar una amplia gama de actividades amenazantes. SLUB puede tomar capturas de pantalla, manipular el sistema de archivos, ejecutar comandos, listar y terminar procesos y modificar el Registro de la computadora.
SLUB abandona Slack y GitHub y ahora explota Mattermost
La última versión de SLUB que se implementará en una campaña estilo pozo de agua ya no usa Slack o GitHub en su estructura C2. En cambio, los piratas informáticos optaron por abusar de un servicio de chat en línea de código abierto llamado Mattermost. Este servicio de chat se utiliza como una forma de realizar un seguimiento de la campaña SLUB mediante la creación de un canal separado para cada víctima infectada.
El objetivo de los piratas informáticos es comprometer sitios web legítimos y obligarlos a alojar y distribuir malware. La campaña involucra cinco servidores C2 diferentes y aprovecha cuatro nuevas vulnerabilidades. Los usuarios de Chrome son redirigidos a una versión de prueba de concepto armada de la vulnerabilidad CVE-2019-5782 de Google Chrome, así como a una vulnerabilidad que no tiene una designación asignada actualmente. A través de los exploits, se colocan tres cargas útiles de malware separadas en la computadora de destino, una de las cuales es SLUB Malware. Mientras que el lado de Chrome de la campaña de ataque usa shellcode, PowerShell se usa en su lugar cuando se trata de Internet Explorer. La vulnerabilidad abusada es, por supuesto, también diferente: CVE-2020-0674.
