Descubren ataque cibernético con malware que usa encabezados DOS y PE corruptos

Investigadores de ciberseguridad de Fortinet han revelado un ataque cibernético inusual que empleó malware con encabezados DOS y PE corruptos, dificultando su detección y análisis. Este hallazgo destaca una técnica sofisticada utilizada por actores de amenazas para evadir soluciones de seguridad tradicionales.

¿Qué son los encabezados DOS y PE?

Los encabezados DOS (Disk Operating System) y PE (Portable Executable) son componentes fundamentales de los archivos ejecutables en sistemas Windows.

• El encabezado DOS permite la compatibilidad con sistemas MS-DOS y facilita el reconocimiento del archivo como ejecutable válido.
• El encabezado PE, por su parte, contiene los metadatos necesarios para que Windows cargue y ejecute el programa correctamente.

Técnicas avanzadas de evasión mediante encabezados dañados

Según el informe de Fortinet, el malware detectado presentaba encabezados DOS y PE dañados, una técnica que busca obstaculizar los esfuerzos de análisis forense y dificultar la reconstrucción de la carga útil desde la memoria.

Citar"Descubrimos malware que se había estado ejecutando en una máquina comprometida durante varias semanas", afirmaron Xiaopeng Zhang y John Simmons, del Equipo de Respuesta a Incidentes de FortiGuard, en un informe compartido con The Hacker News.

El ataque se llevó a cabo mediante scripts por lotes y PowerShell, ejecutados dentro de un proceso legítimo de Windows. Aunque Fortinet no logró extraer el malware directamente, sí obtuvo un volcado de memoria del proceso en ejecución, así como un volcado de memoria completo del sistema comprometido.

Ataque vinculado a intento de ransomware

El comportamiento observado fue parte de un único incidente asociado a actividad de ransomware, aunque la amenaza fue neutralizada antes de que el cifrado pudiera desplegarse. El atacante obtuvo acceso inicial mediante infraestructura de acceso remoto, y trató de propagar el malware usando PsExec y scripts de PowerShell, los cuales no pudieron recuperarse durante la investigación.

Características del malware

El malware detectado se ejecuta dentro de un proceso dllhost.exe, ocultando su actividad bajo un ejecutable aparentemente legítimo. Se trata de un archivo PE de 64 bits diseñado específicamente para evadir herramientas de análisis de malware.

Tras superar los obstáculos técnicos, los expertos de Fortinet consiguieron analizar el código malicioso replicando el entorno del sistema afectado en un laboratorio controlado. A través de múltiples iteraciones, lograron reconstruir el comportamiento completo del malware.

Funcionalidades del RAT y conexión C2

Una vez ejecutado, el malware descifra la información del dominio de comando y control (C2) directamente desde la memoria y establece comunicación con el servidor malicioso "rushpapers[.]com" mediante TLS (Transport Layer Security).

El diseño del malware es altamente modular y emplea una arquitectura de sockets multihilo:

• Captura de pantalla del sistema comprometido.
• Enumeración y manipulación de servicios del sistema.
• Capacidad de operar como servidor remoto en espera de conexiones entrantes.

Cada vez que un nuevo cliente (es decir, el atacante) se conecta, el malware crea un nuevo hilo dedicado a la sesión, lo que permite interacciones simultáneas y complejas.

Citar"Este diseño convierte al sistema infectado en una plataforma de acceso remoto totalmente funcional", explicó Fortinet. "El atacante puede lanzar nuevos ataques o realizar acciones en nombre de la víctima."

En fin, este incidente subraya el uso de técnicas avanzadas por parte de los ciberdelincuentes, como la corrupción de encabezados PE y DOS, para evadir la detección. La amenaza, aunque contenida por Fortinet antes de causar daños mayores, revela la creciente sofisticación del malware moderno, especialmente aquellos con funcionalidades de troyano de acceso remoto (RAT).

Las organizaciones deben mantenerse alerta y adoptar soluciones de ciberseguridad proactivas, incluyendo la supervisión de memoria y análisis de comportamiento, para detectar amenazas que emplean métodos de evasión poco convencionales.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta