Redazione RHC : 18 septiembre 2025 07:50
Se ha identificado en VirusTotal una versión maliciosa de la imagen ISO llamada Servicenow-BNM-Verify.iso, cuyo origen se informa en Malasia, sin apenas detección. La imagen contiene cuatro archivos, dos visibles y dos ocultos, lo que sugiere un empaquetado diseñado para engañar a los análisis superficiales.
Entre los archivos visibles, un acceso directo de Windows llamado servicenow-bnm-verify.lnk ejecuta PanGpHip.exe, un ejecutable legítimo producido por Palo Alto Networks. Aunque la ruta de destino del enlace apunta a un directorio inexistente en las máquinas víctimas, el archivo LNK redirige correctamente a su propio directorio, lo que garantiza que PanGpHip.exe se ejecute cada vez que se monte la ISO.
La carga lateral de DLL es una técnica utilizada por atacantes en la que un programa legítimo carga, sin saberlo, una biblioteca maliciosa (DLL) en lugar de la legítima. Esto se debe a que Windows, al buscar la DLL solicitada, prioriza ciertas carpetas (por ejemplo, la local del programa), lo que permite que el malware se disfrace de un archivo legítimo.
Se encontraron dos bibliotecas dentro de la ISO: la biblioteca original de OpenSSL, identificada como libeay32.dll, y una biblioteca maliciosa llamada libwaapi.dll, esta última transferida por el ejecutable de Palo Alto e indicada como el núcleo del ataque.
Libwaapi.dll exporta una única función que contiene código, wa_api_setup, que inicia su flujo de trabajo ocultando la ventana de la consola mediante la API de la interfaz gráfica de usuario de Windows.
La rutina comprueba la presencia de un mutex llamado 47c32025. Si no está presente, se llama a una función interna, renombrada como fn_payload_injection, que inyecta la carga útil en la memoria.
La función de inyección calcula el hash SHA-256 de la cadena «rdfY*&689uuaijs» y utiliza el resultado como la clave RC4 para desofuscar la cadena «chakra.dll». A continuación, carga la DLL legítima de Windows desde C:WindowsSystem32, localiza la primera sección ejecutable, la permite escribir, borra su contenido y decodifica en base64 una carga útil oculta almacenada en la sección .data de la DLL.
Tras el descifrado con RC4, se comprueba la integridad de la carga útil mediante un valor SHA-256 codificado; si se realiza correctamente, se restauran los permisos de memoria y la ejecución cambia a la carga útil inyectada.
El shellcode inyectado descomprime una DLL incrustada mediante RtlDecompressBuffer con el algoritmo LZNT1 de máxima compresión. La DLL resultante lleva una marca de tiempo falsa del 5 de mayo de 1984 e implementa el comportamiento malicioso en la exportación DllUnload. El análisis inicial indica que el módulo se está desconectando para evitar ser detectado.
La carga útil final entra en un bucle que transmite los datos de la víctima a los registros de la API logsapi.azurewebsites[.]net, utilizando Azure Functions como backend de comando y control. Se envía una carga útil en formato XML que contiene metadatos del sistema, como la arquitectura, el tiempo de actividad, la compilación del sistema operativo, los nombres de los equipos y usuarios, los procesos en ejecución y otros detalles. Aunque la información se cifra durante el envío, puede obtenerse precifrada, lo que revela la intención del autor de perfilar cuidadosamente los hosts comprometidos y abusar de un entorno sin servidor escalable y basado en eventos.
Un elemento indicativo de una campaña, según un informe de Researcher, es la aparición en VirusTotal de una DLL similar procedente de Singapur el 5 de septiembre de 2025. La desofuscación está en curso y tiene como objetivo revelar más capacidades de la carga útil; un análisis posterior explorará los mecanismos de persistencia y las rutinas de movimiento lateral contenidas en esta sofisticada infraestructura compatible con Azure Functions.
RedazioneLa Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
Importantes agencias de todo el mundo han alertado sobre una amenaza crítica a la infraestructura de red: vulnerabilidades en los dispositivos Cisco Adaptive Security Appliance (ASA) y Firepower han ...
Recientemente, se descubrió una campaña de malvertising dirigida a usuarios empresariales que intentaban descargar Microsoft Teams . A primera vista, el ataque parece trivial: un anuncio patrocinado...
El 27 de septiembre de 2025 surgieron nuevas preocupaciones sobre los robots producidos por Unitree Robotics de China, luego de que se informaran graves vulnerabilidades que podrían exponer miles de ...
