Verblecon Malware
Los detalles sobre un nuevo y poderoso malware llamado Verblecon han salido a la luz. Los investigadores detectaron por primera vez la cepa amenazante en enero de 2022. Según sus hallazgos, el actor de amenazas que actualmente usa Verblecon Malware como parte de sus operaciones de ataque utiliza solo una pequeña parte de las capacidades de la amenaza. De hecho, a pesar de tener la capacidad de realizar numerosas acciones invasivas en los dispositivos violados, hasta ahora Verblecon estaba relegado al papel de un cargador que entrega cargas útiles de criptominería.
Detalles técnicos
El malware Verblecon está basado en Java y tiene una naturaleza polimórfica. Esto significa que el código de la carga útil de la amenaza se ve diferente cada vez que se descarga. Estas técnicas sofisticadas suelen emplearlas los actores de amenazas involucrados en el ciberespionaje. Además, el flujo de código, las cadenas y los símbolos de la amenaza están completamente ofuscados, lo que hace que Verbelcon sea extremadamente sigiloso.
La amenaza también realiza varias comprobaciones para entornos de virtualización y sandbox. Obtiene una lista de los procesos que se están ejecutando actualmente y los compara con una selección predeterminada de archivos que se sabe que están asociados con sistemas de máquinas virtuales. Si se pasan todas las comprobaciones, la amenaza continuará con su ejecución copiándose a sí misma en un directorio local como %ProgramData% , %LOCALAPPDATA% y Users .
Verblecon intentará establecer contacto con un servidor de comando y control (C2) periódicamente para obtener e implementar una nueva carga útil. La carga útil se ofusca utilizando técnicas similares y también verifica el entorno en busca de signos de virtualización. Según los investigadores, la tarea principal del payload es descargar y ejecutar un archivo binario, que posteriormente se inyectará en %Windows%\SysWow64\dllhost.exe .
Como dijimos, las operaciones actuales que involucran a Verblecon no explotan todas las capacidades de la amenaza y se limitan a entregar principalmente amenazas de criptominería. También hay indicios de que los atacantes están interesados en obtener los tokens de Discord de las víctimas.
