Inicio / Actualidad / Shamoon Disk Wiper regresa con la segunda muestra descubierta este mes

Shamoon Disk Wiper regresa con la segunda muestra descubierta este mes

El primer informe nombró a Italia como el origen de la carga de muestra a VirusTotal, mientras que una nueva detección de una variedad diferente de malware se observó en la misma plataforma de análisis tres días después, el 13 de diciembre, desde los Países Bajos.

Diferente fecha de activación, aún en el pasado.

Alrededor del 80% de esta nueva muestra de Shamoon, también conocida como Disstrack, es similar a las versiones anteriores del malware. Sin embargo, algunos contrastes son notables.

Los investigadores de malware en Anomali Labs dicen que esta es una muestra diferente a la analizada por Chronicle , el brazo de ciberseguridad de Alphabet, también examinada por los expertos de la Unidad 42 de Palo Alto Networks .

Entre las diferencias, según los analistas de Anomali Labs, la fecha de activación aún está establecida en el pasado, pero hasta el 12 de diciembre de 2017, cinco días después de la establecida en la variante identificada anteriormente.

Una fecha de activación o detonación se establece normalmente para activar el malware. En estos casos, no está claro por qué el actor de amenazas usó fechas en el pasado. Ghareeb Saad , gerente de inteligencia de amenazas de Anomali, no excluye la posibilidad de un error.

Le dijo a BleepingComputer que Shamoon puede recuperar las fechas de detonación de su servidor de comando y control (C2); Las muestras examinadas por Anomali Labs no tenían el C2 configurado.

Una tercera explicación para la fecha de activación histórica es que el adversario quería que Shamoon se activara inmediatamente después de alcanzar el objetivo.

“Esto se puede lograr modificando la fecha de detonación a 1 año en el pasado. Por lo tanto, es posible que una muestra con una fecha de detonación del 12 de diciembre de 2017, represente una segunda oleada de malware Shamoon V3 que se utilizó el 12 de diciembre. 2018, “razonan los investigadores deAnomali Labs  .

Intentos básicos de pasar desapercibidos.

Otra desviación es el uso de UPX (Ultimate Packer for eXecutable), que no se reveló con la muestra descubierta el 10 de diciembre.

Empaquetar un ejecutable modifica la firma y lleva a pasar por alto la detección basada en firmas, por lo que esta opción puede ser un método para mantener un perfil bajo.

Dado que el 80% del malware es reconocible, el uso de UPX parece una maniobra táctica del actor de amenazas.

Además, el nuevo Shamoon usa “VMWare Workstation” en su descripción de archivo, probablemente en un intento de pasar como un ejecutable de configuración de VMWare durante una verificación superficial.

Saad nos dijo que no hay pruebas suficientes para confirmar este objetivo, aunque “esta táctica se usa comúnmente con ataques de ingeniería social o para evitar que los usuarios realicen una investigación básica del archivo”.

El autor cambia los nombres de los recursos

Las versiones anteriores de Shamoon en 2012 y 2016 incluían un conjunto de archivos de recursos que se utilizaron para reemplazar los archivos destruidos. En la muestra analizada por Chronicle, la sección binaria que normalmente contenía el recurso está vacía.

Este no es el caso con la variante estudiada por Saad, que incluye tres archivos de imagen llamados ‘GNL’, ‘PICNIC’ y ‘UNM’, como se muestra a continuación.

“Los archivos parecen tener propiedad en el idioma árabe de Yemen”, señala el investigador.

A pesar de la presencia de estos archivos, el malware no los utiliza en absoluto. En cambio, el mismo controlador RawDisk de ElDos se emplea para destruir el almacenamiento al sobrescribir las particiones del registro de arranque maestro con datos aleatorios, como lo observó Palo Alto Network en su análisis de la primera muestra de Shamoon de este mes.

El vector de infección inicial para las cepas Shamoon descubiertas este mes sigue siendo desconocido, al igual que la persona que las cargó en la plataforma de análisis VirusTotal.

La semana pasada, el proveedor de servicios petroleros Saipem reveló que más de 300 de sus servidores habían sido afectados por Shamoon.

Con esta segunda muestra, no hay atribución de víctimas porque ninguna compañía informó un ataque cibernético de borrado de datos y los investigadores no encontraron pistas de que eso apuntaba a un objetivo.

En el momento de escribir, ambas variantes del limpiador de datos son ampliamente detectadas por los motores antivirus en VirusTotal.

Comenta y comparte con nosotros en nuestra red social, Facebook .

Fuente: bleepingcomputer

Vea También

China exige pasar un reconocimiento facial para contratar el teléfono

Anunciado anteriormente por el Ministerio de Industria y Tecnología de la Información de China, desde …

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.