Denominado APT BaneChant, el troyano se difunde vía documento de Word infectado con un virus que se envía durante ataques vía email específicos. El nombre del documento es “Islamic Jihad.doc”. “Sospechamos que este documento de ataque se dirige a gobiernos de Occidente y Asia”, asegura Chong Rong, analista de FireEye en una reciente entrada de su blog.

El ataque funciona a varios niveles. El documento infectado descarga y ejecuta un componente que determina si el entorno operativo está virtualizado, al igual que un antivirus tipo sandbox o un sistema de análisis de virus automático, y detecta si hay actividad de ratón antes de iniciar la segunda fase de su ataque.

El control de los clics de ratón no es nuevo, pero hasta ahora el malware que utilizaba esta técnica evasiva esperaba el primer clic del ratón y BaneChan espera tres clics antes de proceder a desencriptar una URL y descargar una puerta trasera que se enmascara como imagen JPG, explica Rong Hwa.

El programa de puerta trasera reúne y carga información del sistema a un servidor command-and-control y soporta varios comandos, incluyendo uno para descargar y ejecutar archivos adicionales a los ordenadores infectados.

“Como tecnología avanzada, el virus también evoluciona”, malwareasegura  Rong Hwa. En esta instancia, el malware utiliza varios trucos, incluso sortea los filtros, detecta el comportamiento del usuario y evita la tecnología de extracción binaria a nivel de red para la realización de encriptación XOR multibyte de archivos ejecutables. Para ello, disfraza el malware como proceso legítimo y sortea los análisis forenses, mediante código malicioso sin archivo que se carga directamente en la memoria y evita los controles de lista negra, mediante la redirección vía servicios DNS dinámicos y de URL reducida, concluye el experto.