El nuevo malware utiliza ofuscación y entrega de payload por etapas para evadir la detección

Una campaña de malware recientemente descubierta está dirigida a empleados gubernamentales en Pakistán mediante correos electrónicos de phishing cuidadosamente elaborados que combinan ofuscación y entrega de payload por etapas para permanecer ocultos a las herramientas de seguridad. El ataque estuvo dirigido al personal de la Autoridad de Ciudades Seguras de Punjab (PSCA) y PPIC3, y el actor de la amenaza se hizo pasar por un consultor interno y hizo referencia a un proyecto gubernamental llamado “Proyecto de Cárcel Segura”.

La campaña envía dos archivos adjuntos maliciosos en el mismo correo electrónico. El primero es un documento de Word llamado “CAD Reprot.doc”, un error ortográfico deliberado que a menudo se ve en archivos creados por actores de amenazas. Ambos archivos adjuntos extraen cargas útiles de la misma infraestructura alojada en BunnyCDN, una red de entrega de contenido legítima, lo que dificulta que las herramientas de seguridad detecten el tráfico. Flujo de trabajo de análisis (Fuente: JoeReverser) El ataque obtuvo una calificación maliciosa perfecta en todas las pruebas de sandbox y no se encontró ninguna coincidencia de familia de malware conocida en Malpedia, lo que confirma que se trata de un conjunto de herramientas personalizado creado para un objetivo específico.

Entrega en múltiples etapas y VBA Stomping El aspecto técnicamente más significativo de esta campaña es cómo el atacante diseñó cada paso de entrega para atravesar las defensas de seguridad sin ser atrapado. La publicación Nuevo malware utiliza ofuscación y entrega de payload por etapas para evadir la detección apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗