Los piratas informáticos utilizan cada vez más archivos PDF como armas para distribuir malware y llevar a cabo ciberataques.
Los atacantes pueden aprovechar la ubicuidad y autenticidad de los archivos PDF para comprometer archivos maliciosos que pueden contener enlaces maliciosos, código incrustado o vulnerabilidades que permiten la ejecución remota de código. Estoy intentando que alguien los abra.
Los expertos en seguridad de Palo Alto Networks confirmaron recientemente que los piratas informáticos están utilizando activamente archivos PDF como armas para entregar el nuevo malware SnipBot.
Los piratas informáticos utilizan archivos PDF como armas
SnipBot es una variante recientemente descubierta de la familia de malware “RomCom” identificada por el sandbox Advanced WildFire de Palo Alto Networks en abril de 2024.
Esta sofisticada amenaza se llama “RomCom 5.0” y combina las siguientes características:
Comedia Romántica 3.0 Peapod (Comedia Romántica 4.0)
SnipBot, por otro lado, emplea un proceso de infección de varios pasos que comienza con un ejecutable firmado disfrazado de “PDF”.
Utiliza técnicas anti-sandboxing como “comprobación de nombres de procesos” y “entradas de registro”.
Para evadir la detección, el malware utiliza “ofuscación del flujo de control basada en mensajes de ventana” y “cadenas cifradas”.
Flujo de ejecución de SnipBot (Fuente: Palo Alto Networks)
Además de esto, también descarga cargas útiles adicionales, como archivos DLL que inyectan código en Explorer.exe mediante el “secuestro de COM”.
La funcionalidad principal de SnipBot incluye una “puerta trasera (single.dll)” que crea un “SnipMutex” que permite a los actores de amenazas “ejecutar comandos”, “cargar/descargar archivos” e “implementar módulos adicionales”.
Primero, el malware se comunica con un servidor de comando y control (C2) utilizando dominios como “xeontime(. )com” y “drvmcprotect(. )com”.
Las versiones anteriores del malware utilizaban varias tácticas, como “instaladores de fuentes de Adobe falsos” y “dominios C2”, como ilogicflow(. )com y webtimeapi(. )com.
Sitio web falso de Adobe (Fuente: Palo Alto Networks)
La continua sofisticación de las ciberamenazas queda demostrada por la evolución de SnipBot.
Al igual que SnipBot, se utiliza una variedad de técnicas de evasión, métodos de entrega de carga útil y funciones posteriores a la infección para comprometer los sistemas y filtrar datos confidenciales.
El análisis de la actividad posterior a la infección de SnipBot rastreada a través de la telemetría Cortex XDR reveló una secuencia de ataque sofisticada que duró aproximadamente cuatro horas el 4 de abril.
Los atacantes utilizaron la funcionalidad de línea de comandos del módulo principal de SnipBot (single.dll) para realizar primero un reconocimiento de red e identificar controladores de dominio.
Luego, el atacante intentó extraer archivos de las carpetas Documentos, Descargas y OneDrive de la víctima a los servidores en 91.92.250(.)104.
Los atacantes utilizaron herramientas como AD Explorer y WinRAR (ahora rebautizado como fsutil.exe) para la detección y compresión de archivos, y el cliente PuTTY Secure Copy (ahora rebautizado como dsutil.exe) para la transferencia de datos.
Los tipos de archivos objetivo incluían archivos de sistema estándar y formatos anómalos relacionados con la salud (ZBF, DCM).
A pesar de los fallos, incluido un intento de finalizar el proceso PuTTY, el atacante continuó hasta el final e instaló “config-pdf.dll” descargado de xeontime(. ) com y cethernet(. ). Busqué el comando en com.
El ataque terminó con un intento de crear una instantánea de la base de datos local de Active Directory y archivos comprimidos desde c:\essential.
Este enfoque integral combina malware personalizado (SnipBot), técnicas de Living-Off-The-Land y robo de datos dirigido, como se señala en los hallazgos de los actores de amenazas de CERT-UA. Esto sugiere un posible cambio de motivos financieros al espionaje.
Analice enlaces sospechosos utilizando la nueva herramienta de Navegación Segura de ANY.RUN. Pruébalo gratis.
Hackers Weaponizing PDF Files To Deliver New SnipBot Malware