Los investigadores de ciberseguridad han revelado una nueva puerta trasera sigilosa llamamiento Mystrodx Eso viene con una variedad de características para capturar datos confidenciales de sistemas comprometidos.
«MyStrodx es una puerta trasera típica implementada en C ++, que admite funciones como compañía de archivos, reenvío de puertos, shell inverso y dirección de sockets», dijo Qianxin XLAB en un crónica publicado la semana pasada. «En comparación con las puertas traseras típicas, MyStrodx se destaca en términos de sigilo y flexibilidad».
MyStrodx, todavía llamado Chronosrat, fue documentado por primera vez por la Dispositivo de Palo Suspensión Networks 42 el mes pasado en relación con un colección de actividad de amenazas llamado CL-STA-0969 que dijo que exhibe superposiciones con un colección de ciber espionaje de China-Nexus denominado panda liminal.
El sigilo del malware se deriva del uso de varios niveles de enigmático hasta el código fuente impreciso y las cargas enseres, mientras que su flexibilidad le permite habilitar dinámicamente diferentes funciones basadas en una configuración, como designar TCP o HTTP para la comunicación de la red, o optar por el enigmático de texto enjuagues o AES para fijar el tráfico de red.
MyStrodx todavía admite lo que se pira modo de activación, lo que permite que funcione como una puerta trasera pasiva que puede activarse a posteriori de la recibimiento de paquetes de red DNS o ICMP especialmente diseñados del tráfico entrante. Hay evidencia que sugiere que el malware puede acaecer existido desde al menos enero de 2024, basado en una marca de tiempo de activación establecida en la configuración.
«Se verifica el valencia mágico, MyStrodx establece la comunicación con el C2 (comando y control) utilizando el protocolo especificado y aplazamiento más comandos», dijeron los investigadores de XLAB. «A diferencia de las puertas de espeluznante correctamente conocidas como Synful Knock, que manipula los campos de encabezado TCP para ocultar comandos, MyStrodx utiliza un enfoque más simple pero efectivo: oculta las instrucciones de activación directamente en la carga útil de paquetes ICMP o adentro de los dominios de consulta DNS».
El malware se entrega mediante un cuentagotas que utiliza una serie de verificaciones relacionadas con la máquina de depuradores y virtuales para determinar si el proceso presente se está depurando o si se ejecuta adentro de un entorno virtualizado. Una vez que se completa el paso de energía, la carga útil de la próxima etapa se descifra. Contiene tres componentes –
- Daytime, un tirador responsable de exhalar Chargen
- Chargen, el componente de puerta trasera myStrodx, y
- Casilla de botella
MyStrodx, una vez ejecutado, monitorea continuamente el proceso matinal, y si no se encuentra que se está ejecutando, lo aguijada inmediatamente. Su configuración, que está encriptada utilizando el cálculo AES, contiene información relacionada con el servidor C2, el tipo de puerta trasera y los puertos C2 principales y de respaldo.
«Cuando el tipo de puerta trasera se establece en 1, MyStrodx entra en modo de puerta trasera pasiva y aplazamiento un mensaje de activación», dijo XLAB. «Cuando el valencia del tipo de puerta trasera no es 1, MyStrodx entra en modo de puerta trasera activa y establece la comunicación con el C2 especificado en la configuración, esperando para ejecutar los comandos recibidos».
