Sihost

Las protestas en Hong Kong han durado bastante tiempo y el gobierno chino parece estar perdiendo la paciencia y recurriendo a algunas técnicas innovadoras. Recientemente, se descubrió que Beijing había empleado un actor de amenazas para atacar a los manifestantes en Hong Kong. Los manifestantes seleccionados recibirían un correo electrónico enmascarado como un mensaje de un estudiante de derecho de Occidente. En el mensaje, los atacantes fingen estar interesados en las protestas y le piden al destinatario "recomendaciones para poner fin a las protestas de Hong Kong". Los atacantes adjuntarían tres archivos al correo electrónico fraudulento: dos genuinos y uno que aparece como '. RTF 'documento pero es un'. Archivo LNK '. Enmascarar este archivo dañado como un documento inofensivo se realiza mediante el uso de una doble extensión, un truco bastante antiguo pero efectivo.

Utiliza un archivo '.PNG' enmascarado como imagen

Los '. Los archivos 'LNK' sirven como enlace, y en el caso de esta campaña de Beijing, el '. El archivo LNK 'conduce a un archivo' msiexec.exe ', que es genuino. Los '. El archivo LNK 'que se adjunta al correo electrónico falso tiene que ejecutar el archivo' msiexec.exe 'y hacer que descargue un archivo de GitHub. El archivo en cuestión parece ser un '. PNG ', pero funciona como un ejecutable. Este ejecutable se utiliza para generar cientos de archivos falsos. Entre ellos está la carga inicial que se encuentra en 'siHost64'.

Capacidades

La carpeta% APPDATA% contendría un script de Python llamado 'siHost64'. Este script está destinado a:

• Obtenga persistencia al alterar el Registro de Windows.
• Establezca una conexión con el servidor C&C (Command & Control) de los atacantes, que funciona con la ayuda de la API DropBox.
• Utiliza el servidor C&C para capturar archivos que contienen comandos cifrados. Al descifrar los comandos, la amenaza los ejecutará. Los resultados de estas acciones se almacenan en un nuevo archivo cifrado. La amenaza exfiltrará el archivo al servidor de C&C periódicamente.

En esencia, la amenaza Sihost es una herramienta para espiar. Este troyano de puerta trasera permitirá a sus operadores recopilar información del host comprometido y transferirla al servidor de los atacantes.

Está claro que el malware Sihost no está destinado a usuarios aleatorios. Esta amenaza tiene una proporción de infección muy baja, y sus víctimas parecen estar en la región china, lo que ha llevado a los expertos a creer que el troyano Sihost se ha desarrollado para atacar exclusivamente a los manifestantes de Honk Kong. La amenaza está muy bien desarrollada, y está claro que los cibercriminales experimentados han creado el troyano de puerta trasera Sihost.