Los investigadores han descubierto una nueva muestra de malware capaz de ocultarse de más de 50 productos antivirus (se abre en una nueva pestaña) actualmente disponibles en el mercado.
El malware fue descubierto por investigadores de ciberseguridad de la Unidad 42, el equipo de inteligencia de amenazas de Palo Alto Networks. El equipo detectó la cepa por primera vez en mayo, cuando descubrieron que se había construido con la herramienta Brute Ratel (BRC4).
Los desarrolladores de BRC4 afirman que incluso han diseñado productos antivirus populares de ingeniería inversa para garantizar que su herramienta evade la detección.
La calidad del diseño y la velocidad con la que se distribuyó entre los terminales de las víctimas convencieron a los investigadores de que un actor patrocinado por el estado estaba detrás de la campaña.
métodos rusos
Aunque la herramienta en sí es peligrosa, los investigadores estaban más interesados en su ruta de distribución, lo que indica que está involucrado un actor patrocinado por el estado.
El malware se distribuye en forma de un documento CV falso. El CV es un archivo ISO que, cuando se monta en una unidad virtual, muestra algo parecido a un documento de Microsoft Word.
Si bien los investigadores aún no pueden identificar exactamente quién es el actor de amenazas detrás de BRC4, sospechan que APT29 (también conocido como Cozy Bear), con sede en Rusia, ha utilizado ISO como armas en el pasado.
Otra pista que sugiere que un actor patrocinado por el estado está en juego es la velocidad a la que se extrajo BRC4. La ISO se creó el mismo día que se lanzó la última versión de BRC4.
"El análisis de las dos muestras descritas en este blog, junto con la elaboración avanzada utilizada para empaquetar estas cargas útiles, muestra claramente que los actores cibernéticos maliciosos han comenzado a adoptar esta capacidad", escribió Unit 42 en una publicación de blogs.
"Creemos que es imperativo que todos los proveedores de seguridad creen protecciones para detectar BRC4 y que todas las organizaciones tomen medidas proactivas para defenderse de esta herramienta".
Через: Реестр (откроется в новой вкладке)