Nueva puerta trasera en Python roba credenciales de navegador y nube
Publicado el
Descubrimiento de DEEP#DOOR
Recientemente, se han revelado detalles sobre una sofisticada puerta trasera en Python denominada DEEP#DOOR. Este marco de trabajo malicioso permite a los atacantes establecer acceso persistente y robar información sensible de sistemas comprometidos.
El proceso de intrusión comienza con la ejecución de un script por lotes ('install_obf.bat') que desactiva los controles de seguridad de Windows, extrae dinámicamente un payload Python ('svc.py') y asegura su persistencia mediante varios métodos, incluyendo la creación de scripts en la carpeta de inicio, claves de ejecución en el registro, tareas programadas y suscripciones opcionales de WMI. Según los investigadores de Securonix, este script de instalación se distribuye utilizando métodos tradicionales como el phishing. Hasta el momento, no se ha determinado la magnitud de los ataques ni el éxito de las infecciones.
Mecanismos de ataque
Lo más interesante de esta cadena de ataque es que el implant principal en Python está incrustado directamente en el script de instalación. Esto permite su extracción y ejecución sin necesidad de comunicarse constantemente con una infraestructura externa, lo que reduce la huella forense.
Una vez activado, el malware establece comunicación con un servicio de túnel basado en Rust, denominado 'bore[.]pub'. A través de este canal, el atacante puede emitir comandos para facilitar la ejecución remota y la vigilancia exhaustiva. Entre las capacidades del malware se incluyen: - Shell inverso - Reconocimiento del sistema - Keylogging - Monitoreo del portapapeles - Captura de pantallas - Acceso a webcams - Grabación de audio ambiente - Robo de credenciales de navegadores como Google Chrome y Mozilla Firefox, así como del Gestor de Credenciales de Windows - Robo de credenciales en la nube (Amazon Web Services, Google Cloud y Microsoft Azure)
La utilización de un servicio de túnel TCP público para el control y comando (C2) presenta varias ventajas, como la eliminación de la necesidad de establecer infraestructura dedicada, la mezcla del tráfico malicioso y la ocultación de los datos del servidor dentro del payload.
Evasión y persistencia
DEEP#DOOR también incorpora múltiples mecanismos de evasión y análisis, incluyendo detección de sandbox, depuradores y máquinas virtuales (VM), parches de AMSI y Event Tracing for Windows (ETW), desanclaje de NTDLL, manipulación de Microsoft Defender, bypass de SmartScreen y supresión de registro de PowerShell. Además, emplea tácticas como la eliminación de registros y la manipulación de marcas de tiempo para complicar los esfuerzos de respuesta ante incidentes.
La puerta trasera asegura su persistencia mediante la creación de scripts en la carpeta de inicio de Windows, claves de ejecución en el registro y tareas programadas. También incluye un mecanismo de vigilancia que garantiza que los artefactos de persistencia no sean eliminados, recreándolos automáticamente en caso de ser necesario, lo que dificulta las tareas de remediación.
Conclusión
En resumen, DEEP#DOOR se presenta como un Troyano de Acceso Remoto (RAT) completamente funcional, capaz de mantener una persistencia a largo plazo, realizar espionaje, desplazamiento lateral y operaciones post-explotación en entornos comprometidos. Este malware pone de manifiesto la evolución constante de los actores de amenazas hacia marcos de intrusión basados en scripts y sin archivos, que dependen en gran medida de componentes del sistema nativo y lenguajes interpretados como Python. La capacidad de incrustar el payload directamente en el script de instalación y extraerlo en tiempo de ejecución reduce significativamente las dependencias externas y limita las oportunidades de detección tradicionales.