Los piratas informáticos utilizan cada vez más empaquetadores para difundir malware

Los investigadores de seguridad cibernética de Check Point han descubierto una tendencia creciente de piratas informáticos a aprovechar herramientas de empaquetado comerciales como BoxedApp para ocultar y distribuir diversas cepas de malware. Durante el año pasado se observó un aumento significativo en el abuso de los productos BoxedApp, particularmente en ataques contra instituciones financieras y organizaciones gubernamentales. BoxedApp ofrece una variedad de empaquetadores comerciales, incluidos BoxedApp Packer y BxILMerge, que brindan funciones avanzadas como almacenamiento virtual (sistema de archivos virtual, registro virtual), procesos virtuales y un sistema de instrumentación universal (enganches API WIN/NT). Si bien estas herramientas están diseñadas para fines legítimos, los actores de amenazas las explotan para empaquetar cargas útiles maliciosas, evadir la detección y fortalecer los esfuerzos de análisis. Según la investigación de los investigadores, los principales productos BoxedApp de los que se abusa son BoxedApp Packer y BxILMerge, ambos basados ​​en el SDK de BoxedApp. Estos productos otorgan a los actores de amenazas acceso a las funciones más avanzadas del SDK, lo que les permite crear empaquetadores únicos y personalizados que aprovechan la funcionalidad de vanguardia sin dejar de ser lo suficientemente diversos como para evitar la detección estática. Los beneficios de utilizar funciones avanzadas y únicas que ofrece BoxedApp SDK superan las desventajas de utilizar un empaquetador comercial popular. Entre las características y capacidades más notables se encuentran el sistema de archivos virtual, el registro virtual, los procesos virtuales (inyección de PE), el SDK de enlace de API WIN/NT, el empaquetado general (destrucción de importaciones de PE originales, compresión, etc.), la producción de paquetes de archivos únicos y asegurando que todas las E/S al almacenamiento virtual permanezcan en la memoria sin mover archivos al disco. Aunque los productos BoxedApp han estado disponibles durante varios años, su abuso con fines maliciosos ha aumentado significativamente durante el último año y hasta ahora no ha habido ningún reconocimiento público de su conexión con BoxedApp. Si bien el uso de empaquetadores comerciales tiene ventajas y desventajas para los atacantes, las funciones avanzadas que ofrecen parecen superar los posibles inconvenientes. Los beneficios de usar productos BoxedApp para la distribución de malware incluyen: Productos confiables y listos para usar con funciones avanzadas SDK de BoxedApp disponible para crear empaquetadores diversos y personalizados Sistema de almacenamiento virtual propietario (sistema de archivos virtual, registro virtual) Creación de procesos virtuales para inyección de PE SDK simple para conectar API WIN/NT Compresión general (destruye importaciones PE originales, realiza compresión, etc.) Producción de paquetes de archivos únicos con todas las dependencias en el almacenamiento virtual Todas las E/S al almacenamiento virtual permanecen en la memoria, lo que evita que los archivos se coloquen en el disco Dificultad para distinguir entre aplicaciones empaquetadas normales y maliciosas (alta tasa de falsos positivos) Las desventajas incluyen: Detección estática sencilla de los productos BoxedApp originales utilizados para el paquete Detección estática genérica de algunas características del SDK comúnmente utilizadas indebidamente con fines maliciosos (por ejemplo, conexión de API WIN/NT, aplicaciones virtuales Proceso de aplicaciones – inyección de PE) Alta tasa de detección de falsos positivos para aplicaciones no maliciosas empaquetadas por BoxedApp A pesar de la alta tasa de falsos positivos, que podría causar discrepancias y desencadenar detecciones incluso para aplicaciones no maliciosas, Windows Defender integrado y otros top- Las soluciones antivirus de nivel normalmente no se ven afectadas. Los investigadores analizaron aproximadamente 1200 muestras comprimidas de BoxedApp enviadas a VirusTotal durante los últimos tres años y procesadas con éxito por los entornos sandbox de VT. De manera alarmante, el 25% de estas muestras fueron detectadas como maliciosas según su comportamiento. El historial de VirusTotal en el envío de estas muestras maliciosas muestra una tendencia creciente a abusar de BoxedApp para la distribución de malware. Las familias de malware más utilizadas incluyen troyanos de acceso remoto (RAT) como QuasarRAT, NanoCore, NjRAT, Neshta, AsyncRAT y LodaRAT, así como ladrones como RevengeRAT, AgentTesla, RedLine y Remcos. Además, también se han detectado casos de ransomware como LockBit. Los investigadores realizaron un análisis en profundidad de las partes internas de BoxedApp, centrándose en las estructuras binarias resultantes empaquetadas por diferentes productos. Este análisis proporcionó información sobre cómo descomprimir el almacenamiento virtual y reconstruir archivos binarios maliciosos clave. También se han proporcionado firmas de Yara para facilitar la detección estática de la máquina envasadora en uso y al mismo tiempo distinguir el producto específico utilizado. (Foto de Arthur Edelmans) Ver también: Sonatype expone el paquete PyPI malicioso ‘pytoileur’ ​​​​¿Quiere aprender más sobre ciberseguridad y nube de la mano de los líderes de la industria? Consulte la Cyber ​​​​Security & Cloud Expo que se llevará a cabo en Ámsterdam, California y Londres. El evento completo se llevará a cabo simultáneamente con otros eventos importantes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo. Explore otros próximos eventos y seminarios web de tecnología empresarial proporcionados por TechForge aquí. Etiquetas: boxedapp, ciberseguridad, ciberseguridad, hacking, infosec, malware, packer, seguridad

About Francisco

Check Also

Pruebas de dispositivos inalámbricos | Presentamos el proceso de prueba inalámbrica ThinkPalm

Probar dispositivos inalámbricos no es sólo un proceso técnico. Es esencial para su negocio ya …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *