Un grupo de expertos de seguridad, detectaron un malware que es capaz de pasar desapercibido ante los antivirus y además se puede distribuir dentro de un bloque de archivo, se trata de GZipDe, un ataque que permite la infección del equipo por etapas y que es indetectable en Windows.

De acuerdo  con la fuente, GZipDe se distribuye mediante un fragmento de texto, encontrado en un documento de Microsoft Word, perteneciente a la suite ofimática de Windows. El archivo infestado ha sido publicado en VirustTotal por un usuario de origen Afgano, y contiene un macro malware incrustado que se ejecuta mediante un script en Visual Basic.

Al abrir el archivo, se ejecuta una secuencia hexadecimal y activa un comando en Powershell. La sentencia se llama desde un servidor de origen con IP 118.193.251.137, que es donde se origina la descarga del archivo.

GZipde, el virus indetectable

El nombre del malware es Gzipde, tal como lo especifica la ruta en la que se creó:

\ Documents \ Visual Studio 2008 \ Projects \ gzipde \ gzipde \ obj \ Debug \ gzipde.pdb

La carga útil tcp está disponible en GitHub, aunque el atacante agregó una capa adicional de carga útil de cifrado a esa versión.

Para que este no sea detectado, el atacante implementa una cadena Base64, llamada GZipDe, que se comprime en zip y se cifra con un algoritmo de clave simétrica, lo que evita la detección de virus.

La clave se describe como una matriz de bytes, con los valores:

El ejecutable descargado y programado utiliza la clase de C# WaitForSingleObject, se trata de un intermediario que será el encargado de desplegar GZipDe en el equipo Windows infectado.

Esto evita que varias instancias del mismo malware se ejecuten a la vez, aumentando innecesariamente el uso de recursos y produciendo más ruido de red.

Sin embargo, uno de los investigadores afirma que la carga útil contiene un Shellcode que se pone en contacto con el servidor 175.194.42.8. Mientras que este no está funcionando, Shodan lo registró sirviendo una carga de Metasploit:

Recordemos que Metasploit, es uno de los sitios más usados por hackers para realizar ataques dirigidos, y está diseñado para explotar las vulnerabilidades de los equipos. Dentro de MetaSploit, se encuentra una amplia cantidad de herramientas y programas para ejecutar en las diferentes vulnerabilidades de cada equipo, a cada una de estas aplicaciones se le llama sploit.

El servidor con IP 175.194.42.8, entrega una carga útil de Metasploit capaz de recopilar información del sistema y contactar al servidor a nivel remoto. Los expertos en seguridad indican que, la amenaza distribuida posteriormente se trata de una puerta trasera para realizar el control remoto del equipo infectado.

Más en TekCrispy