Binario firmado por Microsoft utilizado para introducir LOTUSLITE en una campaña de espionaje centrada en la India

Un grupo de amenazas vinculado al Estado ha sido descubierto ejecutando una operación de espionaje silenciosa pero cuidadosamente planificada contra el sector bancario de la India, utilizando un archivo confiable firmado por Microsoft para burlar el malware a través de las defensas de seguridad. La campaña ofrece una nueva versión de la backdoor LOTUSLITE a través de una técnica conocida como carga lateral de DLL, que explota la confianza que los sistemas operativos depositan en los ejecutables legítimos.

Dentro del archivo se encuentra un ejecutable legítimo de Microsoft llamado Microsoft_DNX.exe, una herramienta de desarrollo real que alguna vez fue parte del antiguo ecosistema ASP.NET Core. Los analistas de Acronis Threat Research Unit (TRU) identificaron esta nueva variante de LOTUSLITE durante el monitoreo activo de campañas de malware vinculadas a desarrollos geopolíticos en la región de Asia occidental. El equipo de TRU señaló el uso de un ejecutable firmado por Microsoft como una táctica deliberada para eludir las comprobaciones estándar de puntos finales, ya que la mayoría de los productos de seguridad extienden la confianza implícita a los archivos firmados por Microsoft y rara vez generan alertas basadas únicamente en su ejecución. Descarga de DLL en un ejecutable firmado (Fuente: Acronis) Esta cadena de ejecución muestra cómo el binario firmado sirve como plataforma de lanzamiento para la carga maliciosa.

Se recomienda a los equipos de seguridad monitorear patrones inusuales de carga de DLL desde ejecutables legítimos de Microsoft y aplicar políticas de control de aplicaciones que restrinjan la carga de DLL a rutas de archivos verificadas. La publicación Binario firmado por Microsoft utilizado para introducir LOTUSLITE en una campaña de espionaje centrada en la India apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗