Puerta trasera MeowMeow

Investigadores de ciberseguridad han descubierto una familia de malware previamente no documentada, llamada MeowMeow, implementada en una cibercampaña dirigida a organizaciones ucranianas. La operación demuestra una cadena de infección estructurada y el uso de técnicas de engaño por capas para comprometer sistemas y mantener la persistencia.

Según múltiples indicadores, la campaña se ha atribuido con un nivel de confianza moderado al actor de amenazas estatal ruso APT28. Esta evaluación se basa en los patrones de selección de objetivos de la campaña, los temas geopolíticos presentes en los señuelos y las similitudes técnicas con operaciones cibernéticas rusas anteriores.

Punto de entrada de phishing y mecanismo de seguimiento inicial

La secuencia de ataque comienza con un correo electrónico de phishing cuidadosamente elaborado, diseñado para parecer creíble. El mensaje se envía desde una dirección asociada a ukr.net, una táctica probablemente destinada a aumentar la confianza de los destinatarios ucranianos.

El correo electrónico contiene un enlace que supuestamente lleva a un archivo ZIP. Cuando la víctima hace clic en el enlace, el navegador no descarga el archivo inmediatamente. En su lugar, carga una imagen extremadamente pequeña que funciona como un píxel de seguimiento, indicando a los atacantes que el enlace se ha abierto. Tras esta confirmación, la víctima es redirigida a otra URL donde finalmente se descarga el archivo ZIP malicioso.

Engaño mediante un documento gubernamental señuelo

Una vez extraído el archivo, la cadena de infección ejecuta un archivo de aplicación HTML (HTA). El HTA realiza dos acciones simultáneamente:

• Muestra un documento de reclamo escrito en ucraniano relacionado con las apelaciones para cruzar la frontera.
• Inicia procesos maliciosos adicionales en segundo plano.

El documento funciona como un mecanismo de ingeniería social al presentar lo que parece ser un acuse de recibo de una solicitud gubernamental relativa a los procedimientos de cruce de fronteras. Esta narrativa, cuidadosamente elaborada, refuerza la ilusión de legitimidad mientras la actividad maliciosa continúa sin ser detectada.

Evasión de Sandbox y validación del sistema

Antes de continuar con el proceso de infección, el malware realiza comprobaciones para determinar si se está ejecutando en un entorno de análisis controlado.

La HTA consulta la clave del Registro de Windows HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate para estimar el tiempo que lleva instalado el sistema operativo. Si el sistema tiene menos de diez días, una característica común en entornos de pruebas, el malware finaliza su ejecución. Este paso ayuda a los atacantes a evitar ser detectados por los sistemas automatizados de análisis de malware.

Mecanismos de implementación y persistencia de la carga útil

Si el sistema supera las comprobaciones del entorno, el malware extrae componentes adicionales del archivo ZIP descargado. Se recuperan dos archivos: un archivo VBScript y una imagen PNG con código oculto. Estos archivos se escriben en el disco con nuevos nombres.

La persistencia se logra mediante la creación de una tarea programada que ejecuta automáticamente el VBScript. El propósito principal del script es extraer el código malicioso oculto en el archivo PNG. Esta carga útil integrada es un cargador .NET ofuscado conocido como BadPaw, que inicia la comunicación con un servidor remoto de comando y control.

BadPaw Loader y la puerta trasera MeowMeow

El cargador BadPaw actúa como componente intermediario, responsable de descargar módulos de malware adicionales. Su objetivo principal es recuperar e implementar un ejecutable de puerta trasera llamado MeowMeow.

La aplicación MeowMeow incluye una función de distracción inusual en su interfaz gráfica. Al hacer clic en el botón visible "MeowMeow", el programa simplemente muestra un mensaje que dice "Meow Meow Meow", sin realizar ninguna actividad maliciosa. Este comportamiento actúa como un señuelo secundario para engañar a los analistas durante la inspección manual.

La funcionalidad maliciosa real solo se activa bajo ciertas condiciones. El ejecutable debe iniciarse con un parámetro específico (-v) proporcionado durante la cadena de infección y debe confirmar que se ejecuta en un endpoint real y no en un entorno de análisis.

Protecciones antianálisis y capacidades operativas

Antes de activar sus funciones de puerta trasera, el malware comprueba si se están ejecutando herramientas de seguridad o de monitoreo forense. La ejecución se detiene si se detectan aplicaciones como Wireshark, Procmon, Ollydbg o Fiddler, lo que dificulta aún más el análisis.

Una vez activada, la puerta trasera MeowMeow proporciona a los atacantes varias capacidades:

• Ejecución remota de comandos de PowerShell en el host comprometido
• Manipulación del sistema de archivos, incluida la lectura, escritura y eliminación de archivos.

Estas funciones permiten a los atacantes realizar operaciones de seguimiento, como recopilación de datos, movimiento lateral o despliegue adicional de carga útil.

Artefactos en ruso en el código del malware

Durante su investigación, los investigadores descubrieron cadenas en idioma ruso incrustadas en el código fuente del malware, lo que refuerza la atribución a un actor de amenazas de habla rusa.

La presencia de estos artefactos puede indicar una de dos posibilidades. Los atacantes podrían haber cometido un descuido de seguridad operativa al no localizar el código para el entorno ucraniano. Por otro lado, las cadenas podrían representar artefactos de desarrollo olvidados involuntariamente durante el proceso de creación del malware.

Independientemente de la causa, estos indicadores lingüísticos contribuyen a la evaluación de atribución más amplia que vincula la campaña con las operaciones cibernéticas rusas.