El astuto truco de los piratas informáticos con Microsoft Word sorprendió sinceramente a los especialistas en seguridad de la información.
Investigadores de ciberseguridad han descubierto un nuevo cargador malicioso llamado SquidLoader, que se propaga a través de campañas de phishing dirigidas a organizaciones chinas.
Según los especialistas de LevelBlue Labs, que detectaron este código malicioso por primera vez a finales de abril de 2024, SquidLoader utiliza métodos que le permiten evadir el análisis estático y dinámico y, en última instancia, la detección.
Las cadenas de ataque utilizan correos electrónicos de phishing con archivos adjuntos que se disfrazan de documentos de Microsoft Word, pero en realidad son archivos binarios que inician la ejecución de código malicioso. Este código se utiliza para descargar una segunda etapa de malware desde un servidor remoto, incluyendo Cobalt Strike.
El investigador de seguridad Fernando Domingues señala que los cargadores poseen mecanismos complejos de evasión y creación de falsos objetivos, lo que les ayuda a permanecer indetectables y dificulta el análisis. El shellcode entregado se carga en el mismo proceso para evitar escribir el malware en el disco y así evadir la detección.
SquidLoader emplea varias técnicas de evasión, como el uso de segmentos de código encriptados, código innecesario que permanece sin usar, ofuscación del gráfico de flujo de control (CFG), detección de depuradores y la ejecución de llamadas directas al sistema en lugar de llamadas a la API de Windows NT.
Los cargadores de malware se han vuelto populares entre los ciberdelincuentes que buscan entregar y ejecutar cargas útiles adicionales en dispositivos comprometidos, eludiendo las protecciones antivirus y otras medidas de seguridad.
La evolución de las ciberamenazas requiere una vigilancia y adaptación constantes. Las organizaciones no solo deben fortalecer los aspectos técnicos de la defensa, sino también educar a los empleados para reconocer los ataques de phishing, ya que incluso los sistemas de seguridad más avanzados pueden ser eludidos debido al factor humano.