Redazione RHC : 18 septiembre 2025 07:50
Se ha identificado en VirusTotal una versión maliciosa de la imagen ISO llamada Servicenow-BNM-Verify.iso, cuyo origen se informa en Malasia, sin apenas detección. La imagen contiene cuatro archivos, dos visibles y dos ocultos, lo que sugiere un empaquetado diseñado para engañar a los análisis superficiales.
Entre los archivos visibles, un acceso directo de Windows llamado servicenow-bnm-verify.lnk ejecuta PanGpHip.exe, un ejecutable legítimo producido por Palo Alto Networks. Aunque la ruta de destino del enlace apunta a un directorio inexistente en las máquinas víctimas, el archivo LNK redirige correctamente a su propio directorio, lo que garantiza que PanGpHip.exe se ejecute cada vez que se monte la ISO.
La carga lateral de DLL es una técnica utilizada por atacantes en la que un programa legítimo carga, sin saberlo, una biblioteca maliciosa (DLL) en lugar de la legítima. Esto se debe a que Windows, al buscar la DLL solicitada, prioriza ciertas carpetas (por ejemplo, la local del programa), lo que permite que el malware se disfrace de un archivo legítimo.
Se encontraron dos bibliotecas dentro de la ISO: la biblioteca original de OpenSSL, identificada como libeay32.dll, y una biblioteca maliciosa llamada libwaapi.dll, esta última transferida por el ejecutable de Palo Alto e indicada como el núcleo del ataque.
Libwaapi.dll exporta una única función que contiene código, wa_api_setup, que inicia su flujo de trabajo ocultando la ventana de la consola mediante la API de la interfaz gráfica de usuario de Windows.
La rutina comprueba la presencia de un mutex llamado 47c32025. Si no está presente, se llama a una función interna, renombrada como fn_payload_injection, que inyecta la carga útil en la memoria.
La función de inyección calcula el hash SHA-256 de la cadena «rdfY*&689uuaijs» y utiliza el resultado como la clave RC4 para desofuscar la cadena «chakra.dll». A continuación, carga la DLL legítima de Windows desde C:WindowsSystem32, localiza la primera sección ejecutable, la permite escribir, borra su contenido y decodifica en base64 una carga útil oculta almacenada en la sección .data de la DLL.
Tras el descifrado con RC4, se comprueba la integridad de la carga útil mediante un valor SHA-256 codificado; si se realiza correctamente, se restauran los permisos de memoria y la ejecución cambia a la carga útil inyectada.
El shellcode inyectado descomprime una DLL incrustada mediante RtlDecompressBuffer con el algoritmo LZNT1 de máxima compresión. La DLL resultante lleva una marca de tiempo falsa del 5 de mayo de 1984 e implementa el comportamiento malicioso en la exportación DllUnload. El análisis inicial indica que el módulo se está desconectando para evitar ser detectado.
La carga útil final entra en un bucle que transmite los datos de la víctima a los registros de la API logsapi.azurewebsites[.]net, utilizando Azure Functions como backend de comando y control. Se envía una carga útil en formato XML que contiene metadatos del sistema, como la arquitectura, el tiempo de actividad, la compilación del sistema operativo, los nombres de los equipos y usuarios, los procesos en ejecución y otros detalles. Aunque la información se cifra durante el envío, puede obtenerse precifrada, lo que revela la intención del autor de perfilar cuidadosamente los hosts comprometidos y abusar de un entorno sin servidor escalable y basado en eventos.
Un elemento indicativo de una campaña, según un informe de Researcher, es la aparición en VirusTotal de una DLL similar procedente de Singapur el 5 de septiembre de 2025. La desofuscación está en curso y tiene como objetivo revelar más capacidades de la carga útil; un análisis posterior explorará los mecanismos de persistencia y las rutinas de movimiento lateral contenidas en esta sofisticada infraestructura compatible con Azure Functions.
RedazioneEn uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
