Nuevo Backdoor ocupa Slack y Github como canales de comunicación.-



El backdoor apodado SLUB fue descubierto por el equipo de soluciones de CiberSegurdad de Trend Micro que lo detectó en forma silvestre y es parte de un proceso de infección en múltiples etapas diseñado por Ciberdelincuentes con alta probabilidad que lo hayan programado en C ++.

SLUB usa las bibliotecas enlazadas estáticamente, boost y JsonCpp para realizar la solicitud HTTP, "extraer comandos de fragmentos genéricos" y "analizar la comunicación del canal Slack".

La campaña recientemente observada por los investigadores de seguridad de Trend Micro que abusan de Github y Slack, utiliza un proceso de infección en varias etapas.

Crearon un exploit bajo la vulnerabilidad CVE-2018-8174, la cual permite la explotación de código remoto presente en el motor de VBscript de Windows, el cual fue parchado en mayo del 2018. Esta vulnerabilidad permite la primera etapa del ataque la cual descarga la carga util mediante un downloader camuflado de archivo DLL, todo esto usando PowerShell.




Una vez iniciado, el download de la primera etapa buscará soluciones antimalware en la máquina comprometida y se cerrará automáticamente si detecta alguna. Es muy probable que esta sea una medida de precaución implementada por los actores de amenazas para futuras campañas de SLUB, ya que, como lo señaló Trend Micro, los productos antimalware no detectaron el malware.

También descargará y ejecutará de inmediato la segunda etapa de la infección. El malware SLUB  también explota la vulnerabilidad CVE-2015-1701 en los controladores de modo kernel de Windows para obtener privilegios elevados: utiliza una versión modificada de un exploit disponible públicamente para la vulnerabilidad de Win32k LPE.

SLUB logra persistencia al agregar una clave al Registro de Windows y luego descargará un fragmento de Gist donde los atacantes almacenan los comandos que desean que ejecute el malware en las computadoras comprometidas.

Los investigadores de Trend Micro también observaron que, al elegir utilizar fragmentos de Gist para enviar comandos a SLUB, los atacantes dejaron de poder personalizar los comandos para cada víctima específica, insinuando que la campaña fue diseñada como una operación de extrusión y recopilación de datos, sin la intención de diseñar un proceso de abuso personalizado para cada uno de los objetivos infectados.

Por otro lado, el malware también se utiliza para empaquetar el contenido de la carpeta de escritorio de la víctima y el archivo local de Skype (entre otros datos) y se carga en un espacio de almacenamiento en la nube de File.io controlado por los actores detrás de esta campaña maliciosa.

Además, "no hemos podido encontrar ataques relacionados, y no hemos detectado ningun backdoor personalizado en ningún otro lugar. Hemos estado buscando muestras similares y no hemos encontrado ninguna hasta ahora, lo que es una clara indicación de que los atacantes desarrollaron el malware o lo obtuvieron de un desarrollador privado que no lo ha filtrado públicamente ".


Siguiendo el informe del equipo de soluciones de seguridad cibernética de Trend Micro, Slack deshabilitó el área de trabajo utilizada en el ataque y GitHub que aloja los fragmentos de código utilizados para enviar comandos al malware SLUB.

Slack también emitió la siguiente declaración:

Como se señaló en su publicación, Trend Micro descubrió recientemente el acceso no autorizado de un tercero a la computadora de otro tercero que usa malware, y nos informó de la existencia de un espacio de trabajo en Slack relacionado con este trabajo. Investigamos e inmediatamente y cerramos el espacio de trabajo único, como una violación de nuestros términos de servicio, y confirmamos que Slack no se vio comprometida de ninguna manera como parte de este incidente. Estamos comprometidos a prevenir el uso indebido de nuestra plataforma y tomaremos medidas contra cualquier persona que viole nuestros términos de servicio.


Las puertas traseras permiten que más y más actores operen de forma encubierta

Las puertas traseras son cada vez más populares durante 2019, ya que se utilizan tres instancias de este tipo de malware para apuntar a dispositivos Windows mediante el empleo de puertas traseras antiguas dirigidas a usuarios de LinkedIn y campañas malspam diseñadas para explotar la vulnerabilidad WinRAR recientemente descubierta.

Los ciberdelincuentes también desarrollaron nuevos troyanos que se dirigen a servidores que ejecutan macOS y seis distribuciones de Linux diferentes para eliminar a los mineros de XMRig que se utilizan para extraer de forma subrepticia las monedas de Monero (XMR).

Además de esto, el equipo de investigación de Eclypsium descubrió una nueva vulnerabilidad llamada Cloudborne en servidores , lo que permitió a los posibles atacantes agregar implantes de puerta trasera en el firmware del controlador de administración de placa base.

Fuente: BleepingComputer