Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Puerta trasera de UDPGangster

Puerta trasera de UDPGangster

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:

Una campaña de amenazas atribuida al grupo MuddyWater, vinculado a Irán, ha revelado la implementación de una puerta trasera recientemente identificada, denominada UDPGangster. A diferencia del malware convencional, que se basa en la comunicación TCP, esta herramienta utiliza el Protocolo de Datagramas de Usuario (PDGU) como canal de Comando y Control (CDC), lo que dificulta la detección de su tráfico por parte de las soluciones de seguridad tradicionales. Una vez activa, la puerta trasera permite la manipulación remota completa de los sistemas comprometidos, lo que permite la ejecución de comandos, el robo de archivos y la distribución de malware secundario.

Motivos de espionaje y focalización regional

Los investigadores informan que se han identificado víctimas principalmente en Turquía, Israel y Azerbaiyán. La naturaleza de la operación, sumada a su enfoque geográfico, indica un esfuerzo de espionaje dirigido a recopilar información y establecerse en zonas remotas en entornos sensibles.

Señuelos de phishing y documentos maliciosos

Los atacantes recurren en gran medida al phishing selectivo para infiltrarse en las redes. Se enviaron correos electrónicos suplantando la identidad del Ministerio de Asuntos Exteriores de la República Turca del Norte de Chipre a destinatarios desprevenidos, invitándolos falsamente a un seminario en línea titulado "Elecciones Presidenciales y Resultados".

Estos correos electrónicos incluían dos versiones idénticas del documento malicioso: un archivo ZIP llamado seminer.zip y un archivo Word llamado seminer.doc. Al abrirlo, el documento solicita al usuario que habilite las macros, lo que permite que su carga útil integrada se ejecute silenciosamente. Para ocultar la actividad maliciosa, la macro muestra una imagen señuelo en hebreo del proveedor de telecomunicaciones israelí Bezeq, que supuestamente describe interrupciones del servicio planificadas para principios de noviembre de 2025.

Ejecución de macros y entrega de carga útil

Una vez activadas las macros, el dropper utiliza el evento Document_Open() para decodificar automáticamente los datos Base64 almacenados en un campo de formulario oculto. El contenido resultante se escribe en:

C:\Users\Public\ui.txt

Luego, este archivo se inicia a través de la API de Windows CreateProcessA, lo que inicia la puerta trasera UDPGangster.

Sigilo por diseño: persistencia y tácticas antianálisis

UDPGangster asegura su presencia en el host mediante la persistencia del Registro de Windows. También incorpora una amplia gama de técnicas antianálisis destinadas a frustrar entornos virtuales, entornos aislados y análisis forense. Estas incluyen:

  • Comprobaciones de entorno y virtualización
  • Pruebas de depuración activa
  • Inspeccionar las características de la CPU para detectar señales de máquinas virtuales
  • Identificación de sistemas con menos de 2 GB de RAM
  • Validación de prefijos de direcciones MAC para detectar proveedores de máquinas virtuales
  • Comprobación de si el dispositivo pertenece al grupo de trabajo predeterminado de Windows
  • Análisis de procesos como VBoxService.exe, VBoxTray.exe, vmware.exe y vmtoolsd.exe
  • Revisión de las entradas del Registro para los identificadores de virtualización, incluidos VBox, VMBox, QEMU, VIRTUAL, VIRTUALBOX, VMWARE y Xen
  • Búsqueda de utilidades de depuración o sandbox conocidas
  • Determinar si la ejecución se está produciendo dentro de un entorno de análisis

Solo cuando se superan estas comprobaciones, el malware comienza a extraer datos del sistema y a comunicarse con su servidor externo en el puerto UDP 1269 de 157.20.182[.]75. A través de este canal, puede ejecutar comandos de shell mediante cmd.exe, transferir archivos, actualizar la configuración e implementar cargas útiles posteriores.

Capacidades operativas y robo de datos

Tras la validación, el malware recopila metadatos del sistema y los envía al servidor C2 remoto. Su comunicación basada en UDP permite a los atacantes interactuar con el host infectado en tiempo real, instruyéndole a ejecutar comandos, actualizar la puerta trasera o instalar módulos maliciosos adicionales según sea necesario. Esta estructura facilita tanto las operaciones de reconocimiento como las de espionaje a largo plazo.

Mitigación y concientización

Dado que la cadena de infección se basa en documentos de phishing con macros habilitadas, la alerta del usuario sigue siendo una medida de defensa crucial. Los archivos adjuntos sospechosos o no solicitados, en particular aquellos que instan a la activación de macros, deben tratarse con extrema precaución. Las organizaciones deben aplicar restricciones de macros, implementar soluciones de monitoreo de comportamiento y capacitar a los usuarios para que reconozcan las tácticas de phishing dirigidas.

Medidas de defensa recomendadas

  • Restringir o deshabilitar macros en toda la organización.
  • Implemente una protección de endpoints capaz de detectar cuentagotas basados en macros.
  • Monitorear el tráfico UDP saliente inusual.
  • Marcar los intentos de comunicación con puertos desconocidos o sospechosos.
  • Educar al personal sobre los indicadores de phishing dirigidos.

Al combinar señuelos engañosos, ejecución sigilosa de macros y métodos avanzados de evasión, la campaña UDPGangster de MuddyWater demuestra un renovado énfasis en el acceso encubierto y la recopilación de inteligencia regional. Mantenerse alerta ante ataques basados en documentos es esencial para evitar que estas amenazas se afiancen.

Tendencias

El Número de Parásitos del Gusano se Duplicó en los...

Seguridad informática
El lunes, Microsoft lanzó su último Informe de Inteligencia de Seguridad. Esta empresa gigante del software dio a conocer detalles, revelando que una serie de gusanos informáticos en los entornos empresariales, se han duplicado durante los seis primeros meses de 2009. Por el contrario, esta tendencia particular no se ha observado en los entornos domésticos, hasta la fecha. Microsoft ha contado...

Mas Visto

Cargando...