Malware NativeZone

NativeZone Malware es una amenaza de carga implementada como parte de un nuevo ataque de phishing atribuido al infame grupo de piratas informáticos APT29. El mismo actor de amenazas estuvo detrás del ataque a la cadena de suministro que comprometió a SolarWinds. Se cree que APT29 tiene vínculos con Rusia y se le rastrea con varios otros nombres, incluidos SolarStorm, Nobelium, NC2542, DarhHalo y más.

En su nueva operación, APT29 logró violar la cuenta Contact de la Agencia de Estados Unidos para el Desarrollo Internacional (USAID). Luego, los piratas informáticos procedieron a utilizar la cuenta de marketing legítima para enviar más de 3000 correos electrónicos de phishing a más de 150 objetivos diferentes. Entre las organizaciones afectadas por la amenazante campaña se encontraban agencias gubernamentales y entidades involucradas con el desarrollo internacional, así como con el trabajo humanitario y de derechos humanos. Un informe publicado por Microsoft sobre el ataque de phishing reveló que APT29 implementó 4 cepas de malware nunca antes vistas: un archivo adjunto HTML llamado 'EnvyScout', un descargador llamado ' BoomBox ', un cargador llamado ' NativeZone ' y un shellcode llamado ' VaporRage '.

Detalles de NativeZone

El malware NativeZone es un cargador diseñado para realizar una sola tarea: la entrega de la carga útil VaporRage en el sistema vulnerado. NativeZone se coloca en el sistema mediante el malware BoomBox de la etapa anterior. La amenaza se esconde como un archivo llamado 'NativeCacheSvc.dll'. NativeZone está configurado para iniciarse automáticamente cada vez que un usuario inicia sesión en Windows. Al iniciarse a través de rundll32.exe, la amenaza procederá a iniciar el otro archivo lanzado por BoomBox llamado 'CertPKIProvider.dll'. Lleva la carga útil del malware VaporRage.