Subzero Malware

Subzero Malware Descripción

Se ha observado que un actor ofensivo del sector privado (PSOA, por sus siglas en inglés) utiliza múltiples vulnerabilidades de día cero de WIndows y Adobe para infectar a las víctimas con un malware desarrollado internamente rastreado como Subzero. Los detalles sobre el actor de amenazas y el malware Subzero se publicaron en un informe del Microsoft Threat Intelligence Center (MSTIC). Los investigadores rastrean este PSOA en particular como KNOTWEED y creen que es un actor de amenazas con sede en Austria llamado DSIRF.

Es probable que KNOTWEED proporcione una combinación de dos modelos diferentes: acceso como servicio y pirateo a sueldo, ya que el grupo vende su malware Subzero a terceros y parece tener una participación más directa en ciertos ataques. Las víctimas incluyen bufetes de abogados, agencias de consultoría y bancos ubicados en Austria, el Reino Unido y Panamá.

Detalles del malware bajo cero

La amenaza Subzero se entrega a los objetivos elegidos a través de una variedad de métodos de infección. Los atacantes abusaron de exploits de día cero, como CVE-2022-22047. Además, el malware se desplegó a través de un archivo de Excel armado, fingiendo ser un documento inmobiliario. El archivo contenía una macro corrupta que activa la entrega de Subzero al dispositivo de la víctima.

Para evitar la detección, la principal carga útil de la amenaza reside en la memoria casi por completo. Sus capacidades invasivas incluyen el registro de teclas, la captura de capturas de pantalla, la apertura de un shell remoto y la ejecución de comandos, la exfiltración de archivos y más. Además, se puede indicar al malware que obtenga y ejecute complementos adicionales desde el servidor de comando y control (C2, C&C) de la campaña del ataque.