Piratas informáticos chinos están aprovechando el formato de archivo Windows Installer (MSI) para eludir los controles de seguridad estándar.
Se sabe que los piratas informáticos distribuyen malware en los mismos tipos de formatos familiares: ejecutables, archivos comprimidos y de Microsoft Office, etc. Un nuevo cargador de malware dirigido a hablantes de chino y coreano, que los investigadores de Cyberint han denominado «UULoader», viene en la forma MSI, algo menos común.
De hecho, Cyberint no es el único proveedor que ha detectado un aumento de MSI maliciosos de Asia este verano. La tendencia en ciernes puede deberse en parte a algunas tácticas novedosas de sigilo que permiten a los actores de amenazas ignorar sus
El actor de amenazas chino no identificado pero probablemente detrás de UULoader parece estar difundiéndolo principalmente en correos electrónicos de phishing. Lo disfrazarán como un instalador para una aplicación legítima como AnyDesk (lo que podría indicar que está dirigido a empresas), o como una actualización para una aplicación como Google Chrome.
Esto debería activar inmediatamente las alarmas en cualquier sistema Windows, ya que UULoader no está firmado y no es confiable como lo sería una aplicación legítima. Para evitarlo, Preisman afirma que «emplea varios mecanismos de evasión estática bastante simples, como la eliminación de encabezados de archivos y la carga lateral de DLL, cuya combinación hace que, a primera vista, sea prácticamente invisible para la mayoría de los escáneres estáticos».
Los primeros bytes de cualquier archivo son como una etiqueta con un nombre que permite al sistema operativo y a las aplicaciones saber con qué tipo de archivo están tratando. UULoader elimina ese encabezado («MZ», en este caso) de sus archivos ejecutables principales, para evitar que se clasifiquen como el tipo de archivos en los que podría estar interesado un programa de seguridad. Funciona, dice Preisman, porque «en un intento de ser menos propensos a los falsos positivos, los escáneres estáticos ignoran las cosas que no pueden clasificar y, en realidad, no hacen nada con ellas».
¿Por qué no todos los programas maliciosos hacen esto, entonces? Porque cuando se eliminan los encabezados de los archivos, se necesita encontrar una forma de volver a armar el archivo de alguna manera, para que se ejecute en la máquina de la víctima. UULoader hace eso con dos archivos de un solo byte que corresponden a los caracteres «M» y «Z». Con un comando simple, las dos letras se convierten en una etiqueta de nombre para que los programas funcionen como se necesita.
UULoader agrega un par de trucos más para confundir a su víctima. Por un lado, ejecuta un archivo señuelo legítimo (por ejemplo, el instalador real de Chrome que pretendía ser en primer lugar). También ejecuta un VBScript (VBS) que registra la carpeta que crea como una exclusión en Microsoft Defender.
En conjunto, sus mecanismos ocultos pueden explicar por qué las detecciones iniciales en VirusTotal el mes pasado arrojaron resultados totalmente inocuos. «En la primera vista, nadie detecta estas muestras. Solo después de que se conocen desde hace un tiempo (un par de días, y los entornos aislados han tenido tiempo de procesarlos) aumentan las detecciones en estas muestras», dice Preisman.
Al final de su cadena de infección, se ha observado que UULoader descarga Gh0stRAT y herramientas de piratería complementarias como Mimikatz. Y como estas herramientas son tan populares y se pueden aplicar a varios tipos de ataques, la naturaleza exacta y el objetivo de estas infecciones aún se desconocen.
Gh0stRAT es una herramienta de piratería comercial común en los círculos chinos, donde el uso de MSI parece estar aumentando.
Quizás esto continúe, hasta que los archivos MSI desarrollen el tipo de notoriedad que disfrutan otros tipos de archivos.
