La semana pasada, investigadores de seguridad descubrieron una forma curiosa de ocultar la carga útil maliciosa a plena vista, y este método se utiliza activamente en la naturaleza. Los adversarios usan registros de errores falsos para almacenar caracteres ASCII disfrazados como valores hexadecimales que decodifican a una carga útil maliciosa diseñada para preparar el terreno para ataques basados en scripts.
En el escenario descubierto, los ciberdelincuentes aplicaron un nuevo método después de comprometer sistemas y lograr persistencia. Luego, usaron un archivo con una extensión .chk que imitaba un registro de errores de Windows para una aplicación. A simple vista, el archivo no es sospechoso, ya que tiene marcas de tiempo e incluye referencias al número de versión interna de Windows, pero al final de cada línea hay una representación decimal de un carácter ASCII. Tal archivo no causará sospechas en las soluciones de seguridad, y el usuario lo considerará legítimo, de hecho, este registro de errores falso oculta un script codificado que contacta al servidor de comando y control para el siguiente paso en el ataque. El script se ejecuta usando una tarea programada y dos binarios legítimos de Windows renombrados: mshta.exe y powershell.exe. Los atacantes usan el script para recopilar detalles sobre navegadores instalados, productos de seguridad y software de punto de venta. La regla exclusiva de caza de amenazas desarrollada por Osman Demir ayuda a las soluciones de seguridad a encontrar registros de errores falsos de Windows que contienen cargas útiles maliciosas: https://tdm.socprime.com/tdm/info/KSymsSAJQuht/4Yxe23IBPeJ4_8xclBtg/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Evasión de Defensas
Técnicas: Suplantación (T1036)
