Se encontró una nueva puerta trasera que los cibercriminales ya utilizan en ataques dirigidos. Esta puerta trasera, llamada Tomiris, guarda gran parecido con el malware Sunshuttle (también conocido como GoldMax) que DarkHalo (también conocido como Nobelium) utilizó en un ataque de cadena de suministro contra los clientes de SolarWinds.
La tarea principal de la puerta trasera Tomiris es entregar malware adicional a la máquina de la víctima. Está en comunicación constante con el servidor C&C de los cibercriminales y descarga archivos ejecutables, los que a su vez se ejecutan con argumentos específicos desde ahí.
Nuestros expertos también encontraron una variante que roba archivos. El malware seleccionado recientemente creó archivos con ciertas extensiones (.doc, .docx, .pdf, .rar, entre otras), después las descargó en el servidor C&C.
Los creadores de la puerta trasera la proveyeron de varias funciones para engañar a las tecnologías de seguridad y confundir a los investigadores. Por ejemplo, tras la entrega, el malware no hace nada durante 9 minutos, un retraso que probablemente tenga como intención engañar a los mecanismos de detección basados en espacios aislados. Además, la dirección del servidor C&C no está codificada directamente en Tomiris; la URL y la información del puerto vienen de un servidor de señalización.
Para entregar la puerta trasera, los cibercriminales utilizan secuestro de DNS para redirigir el tráfico desde los servidores de correo de las organizaciones objetivo a sus propios sitios maliciosos (probablemente al obtener credenciales para el panel de control en el sitio del registrador de dominios).
De esta manera, pueden atraer a los clientes a una página que se parezca a la página de inicio de sesión real del servicio de correo. Como es natural, cuando alguien ingresa credenciales en la página falsa, los malhechores de inmediato obtienen esas credenciales.
Por supuesto, los sitios en ocasiones solicitan a los usuarios instalar una actualización de seguridad para funcionar. En este caso, la actualización fue en realidad un downloader para Tomiris.
En nuestra publicación de Securelist puedes encontrar más detalles técnicos sobre la puerta trasera de Tomiris, junto con los indicadores de compromiso y las similitudes observadas entre Tomiris y las herramientas de DarkHalo.
El método de entrega de malware que ya se describió no funcionará si la computadora que accede a la interfaz web de correo está protegida por una solución de seguridad sólida. Además, cualquier actividad de los operadores de APT en la red corporativa puede detectarse con ayuda de los expertos que alimentan Kaspersky Managed Detection and Response.
