Nueva puerta trasera de Python

Investigadores en ciberseguridad han revelado detalles de un marco de puerta trasera sigiloso basado en Python llamado DEEP#DOOR, que cuenta con capacidades para establecer acceso persistente y recolectar una amplia gama de información sensible de hosts comprometidos.

"La cadena de intrusiones comienza con la ejecución de un script por lotes ('install_obf.bat') que desactiva los controles de seguridad de Windows, extrae dinámicamente una carga útil Python embebida ('svc.py') y establece persistencia a través de múltiples mecanismos, incluyendo scripts de carpeta de arranque, claves de ejecución del registro, tareas programadas y suscripciones opcionales a WMI", dijeron los investigadores de Securonix Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un informe compartido con The Hacker News.

Se evalúa que el script por lotes se distribuye mediante métodos tradicionales como el phishing. Actualmente no se sabe cuán extendidos son los ataques que distribuyen el malware, ni si alguna de esas infecciones ha tenido éxito.

Lo que hace que la cadena de ataques sea notable es que el implante central de Python está incrustado directamente dentro del script dropper, desde donde se extrae, reconstruye y ejecuta. Esto reduce la necesidad de tener que contactar repetidamente con infraestructuras externas y minimiza la huella forense.

Una vez lanzado, el malware establece comunicación con "bore[.]pub", un servicio de túneles basado en Rust, que permite al operador emitir órdenes que facilitan la ejecución remota de comandos y una vigilancia extensa. Esto incluye:

• Carcasa inversa
• Reconocimiento de sistemas
• Registro de teclas
• Monitorización con portapapeles
• Captura de pantalla
• Acceso por webcam
• Grabación de audio ambiental
• Recolección de credenciales en navegadores web
• Extracción de claves SSH
• Credenciales almacenadas en Google Chrome, Mozilla Firefox y Windows Credential Manager
• Robo de credenciales en la nube (Amazon Web Services, Google Cloud y Microsoft Azure)

El uso del servicio público de túnel TCP para comandos y control (C2) ofrece varias ventajas, ya que elimina la necesidad de configurar infraestructura dedicada, mezcla tráfico malicioso y evita incrustar detalles del servidor dentro de la carga útil.

Paralelamente, DEEP#DOOR incorpora una serie de mecanismos antianálisis y evasión de defensa, como la detección de sandbox, depurador y máquinas virtuales (VM), parches AMSI y Event Tracing for Windows (ETW), desconexión NTDLL, manipulación de Microsoft Defender, bypass SmartScreen, supresión de registros PowerShell, borrado por línea de comandos, pisoteo de marcas de tiempo y limpieza de logs, para pasar desapercibidos y complicar los esfuerzos de respuesta a incidentes.

También emplea múltiples mecanismos de persistencia que implican crear scripts de carpeta de inicio de Windows, claves de Ejecución del Registro y tareas programadas, además de depender de un mecanismo de vigilancia para asegurarse de que los artefactos de persistencia no se hayan eliminado y, de ser así, recrearlos automáticamente, dificultando la remediación.

"El implante resultante funciona como un Troyano de Acceso Remoto (RAT) completo capaz de persistencia, espionaje, movimiento lateral y operaciones posteriores a la explotación a largo plazo en entornos comprometidos", dijo Securonix. "El implante prioriza evadir la detección y la visibilidad forense manipulando directamente los mecanismos de seguridad y telemetría de Windows."

"DEEP#DOOR destaca la evolución continua de los actores amenazantes hacia marcos de intrusión, sin archivos y guiados por scripts, que dependen en gran medida de componentes nativos del sistema y lenguajes interpretados como Python. Al incrustar la carga útil directamente en el dropper y extraerla en tiempo de ejecución, el malware reduce significativamente las dependencias externas y limita las oportunidades tradicionales de detección."

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login