El esquema de ataque de Earth Preta comienza con el uso de un archivo malicioso llamado Irsetup.exe, que se encarga de desplegar varios componentes tanto legítimos como maliciosos en el sistema. Además, se utiliza un PDF señuelo, aparentemente inocente, destinado a distraer al usuario mientras se lleva a cabo la ejecución del malware. Este PDF, diseñado para atraer a usuarios en Tailandia, solicita la creación de una lista blanca de números de teléfono bajo el pretexto de un proyecto gubernamental.
El malware infringe la seguridad de los sistemas mediante la inyección de una variante de la puerta trasera Toneshell, conocida como Eacore.dll, utilizando una aplicación legítima de Electronic Arts para ocultar su presencia. Este DLL cuenta con funciones que verifican la existencia de procesos relacionados con el antivirus de ESET y, si se detectan, el malware toma medidas para ejecutarse sin ser detectado, utilizando Mavinject para realizar la inyección de código en Waitfor.exe.
Trend Micro ha identificado que Earth Preta ha adaptado su operación al usar excepciones en la ejecución de su malware, lo que significa que si los procesos ESET no se encuentran, el ataque puede continuar sin ser obstaculizado. Esto representa un giro significativo en su enfoque de evasión, dado que el grupo ahora mezcla ejecutables legítimos con componentes maliciosos, dificultando aún más la detección.
La comunicación con el servidor de comando y control se realiza de forma que registra datos sobre el sistema infectado, incluida una ID de víctima única generada al momento de la infección. Además, esta variante ha demostrado ajustes en el protocolo de comunicación para evitar la detección, lo que refleja la evolución continua de sus técnicas y tácticas para comprometer sistemas.
El análisis de la cadena de ataque revela la complejidad y la astucia detrás de las operaciones de Earth Preta, que hasta la fecha han perpetrado numerosos ataques en varios países, afectando a organizaciones gubernamentales y otras entidades.
Para mitigar las amenazas emergentes como las de Earth Preta, es fundamental que las organizaciones fortalezcan sus capacidades de monitoreo y se concentren en detectar comportamientos inusuales relacionados con procesos y archivos aparentemente legítimos. Tanto la inteligencia de amenazas como las capacidades de respuesta a incidentes son esenciales para avanzar en la lucha contra estos grupos que emplean métodos cada vez más sofisticados.
En conclusión, las tácticas innovadoras de Earth Preta subrayan la importancia de una vigilancia constante y un enfoque proactivo en ciberseguridad. La adopción de medidas de defensa robustas y el análisis continuo de las actividades del sistema son fundamentales para combatir estas amenazas avanzadas. Además, utilizar plataformas de inteligencia de ciberseguridad que faciliten la detección y respuesta ágil ante las amenazas es esencial para proteger las redes y datos críticos de las organizaciones en el contexto actual de la ciberseguridad.
Enlace de la fuente, haz clic para tener más información