Menorah Malware
Operadores avanzados de delitos cibernéticos con vínculos con Irán, rastreados bajo el alias 'OilRig', han estado llevando a cabo una operación de phishing dirigida que despliega una nueva variante de un software amenazante conocido como Menorah. Este malware en particular ha sido diseñado con el propósito explícito de ciberespionaje. Cuenta con la capacidad de determinar las especificaciones de una computadora comprometida, acceder y transmitir archivos desde dicho sistema y descargar archivos adicionales o malware.
La demografía precisa de las víctimas sigue siendo incierta en este momento. Sin embargo, la presencia de tácticas engañosas sugiere claramente que al menos uno de los objetivos principales proviene de una organización situada dentro de las fronteras de Arabia Saudita.
El malware Menorah se transmite a través de documentos señuelo
El ataque de phishing OilRig da como resultado la implementación de una variante actualizada del malware SideTwist, lo que implica esfuerzos de desarrollo continuos. En la secuencia de infecciones más reciente, se emplea un documento cebo para crear una tarea programada para una persistencia a largo plazo y al mismo tiempo se elimina un archivo ejecutable llamado 'Menorah.exe'. Este ejecutable, a su vez, establece comunicación con un servidor remoto, a la espera de nuevas directivas. Vale la pena señalar que el servidor de comando y control está actualmente inactivo.
También conocida por alias como APT34 , Cobalt Gypsy, Hazel Sandstorm y Helix Kitten, OilRig es una entidad iraní de Amenaza Persistente Avanzada (APT) con un enfoque especializado en esfuerzos clandestinos de recopilación de inteligencia, infiltrándose meticulosamente y manteniendo el acceso dentro de las redes designadas.
Detalles importantes sobre el malware Menorah muestran sus similitudes con otra amenaza de malware
El malware, escrito en .NET y distribuido a través del documento amenazante, sirve principalmente para el ciberespionaje y cuenta con una amplia gama de capacidades. Este software inseguro es capaz de identificar las características específicas de la computadora objetivo, enumerar directorios y archivos, cargar archivos selectivamente desde el sistema comprometido, ejecutar comandos de shell y descargar archivos en la máquina comprometida.
Tras realizar un análisis exhaustivo comparando el malware SideTwist con Menorah, los investigadores han discernido similitudes sustanciales entre los dos, particularmente en términos de funcionalidad. Estas variantes de malware exhiben funcionalidades de puerta trasera similares para ejecutar comandos de shell y facilitar la carga y descarga de archivos.
Sin embargo, a diferencia de la versión anterior de SideTwist, esta nueva amenaza incorpora características adicionales para ofuscar el tráfico al servidor de comando y control (C&C), mejorando su sigilo para evadir la detección. Inicialmente, el malware busca un argumento específico durante la ejecución para garantizar el flujo de ejecución adecuado. En ausencia del argumento especificado, el malware terminará y detendrá sus operaciones. Esta verificación de rutina sirve para mantener el comportamiento encubierto del malware e identifica si está operando dentro de un entorno analítico, como una zona de pruebas. Si el argumento indica que se está ejecutando dentro de una zona de pruebas, el malware continuará sin el argumento pero finalmente terminará automáticamente.
Posteriormente, el malware procede a tomar huellas digitales de la máquina infectada recopilando información como el nombre de la máquina y el nombre de usuario. Luego, esta huella digital se transmite al servidor C&C en forma de contenido dentro de una solicitud HTTP.
