Backdoor.Stegmap: Un malware que se esconde en un logotipo de Windows

Rubén Castro, 3 octubre 2022

Ya ha comenzado las ofertas del 14 Aniversario de AliExpress. El segundo evento de ventas más importante del año con muchos descuentos y cupones. Ofertas de hasta el 70% en los mejores productos y códigos de descuento:

  • ESAN05 y KODl05: 5€ de descuento con EUR39 de compra mínima
  • ESAN10 y KODl10: 8€ de descuento con EUR79 de compra mínima
  • ESAN20 y KODl20: 20€ de descuento con EUR159 de compra mínima
  • ESAN40 y KODl40: 40€ de descuento con EUR299 de compra mínima
  • ESAN80 y KODl80: 80€ de descuento con EUR499 de compra mínima

Ver las mejores ofertas

Backdoor.Stegmap es un backdoor basado en la esteganografía que se disfraza como un archivo de imagen del logotipo de Windows. Los hackers chinos comprometen objetivos gubernamentales y diplomáticos utilizando técnicas de hacking tanto novedosas como establecidas.


Los ataques llevados a cabo por el software malicioso son cada vez más sofisticados y ahora se dirigen a una variedad de sistemas operativos y dispositivos. Hay una afluencia constante de nuevos métodos y “trucos”, junto con la reaparición de respuestas probadas. En esta última operación encubierta, Witchetty emplea la esteganografía, un método que permite ocultar información dentro de las fotos.

El equipo de cazadores de amenazas de Symantec cree que Stegmap oculta un código peligroso en una versión anticuada del logotipo de Windows. Debido a que el logotipo se almacena en GitHub, un sitio de alojamiento gratuito y de confianza, es menos probable que levante una alerta roja que los servidores tradicionales de comando y control utilizados por los hackers.

Se utiliza una clave XOR para descifrar la carga útil cuando el logotipo es descargado por un cargador DLL que ha sido secuestrado. La forma inesperada de entrar. El malware que se propaga a través de Stegmap tiene la capacidad de generar nuevos archivos y carpetas, iniciar o finalizar procesos, modificar el registro de Windows y descargar ejecutables.

Según los analistas de Symantec, el backdoor utilizado por el grupo de ciberespionaje Witchetty.

Desde febrero de 2022, la campaña Stegmap ha estado en marcha, siendo los objetivos principales dos países de Oriente Medio y una bolsa de valores africana.

Los atacantes establecieron shells web en servidores públicos explotando vulnerabilidades conocidas (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207, CVE-2021-26855 y CVE-2021-27065). Esto les permitía robar credenciales, moverse lateralmente por las redes e instalar malware.

En abril de 2022, ESET descubrió que la operación de ciberespionaje TA410, relacionada con Cicada/APT10, tiene un subgrupo conocido como Witchetty. Con sus características de malware en evolución, Witchetty va contra instituciones gubernamentales, misiones diplomáticas, organizaciones no gubernamentales (ONG) y entidades empresariales.

El troyano de esteganografía Stegmap, una utilidad de proxy personalizada, un escáner de puertos y una “utilidad de persistencia” que se añade a la región de inicio automático del registro como “componente central de la pantalla NVIDIA” son algunas de las adiciones más recientes a la caja de herramientas que mantiene esta organización.

Según Symantec, Witchetty “refina y refresca continuamente su conjunto de herramientas para vulnerar objetivos” con el fin de mantener una presencia duradera y persistente en las empresas que han sido dañadas por el malware.

Rubén Castro

Redactor

Apasionado de explorar y diseccionar lo último en tecnología. Tengo mucha experiencia en el mundo de los ordenadores y el gaming, aunque también me gustan todos los tipos de gadgets.

Consentimiento