En noviembre del pasado año los investigadores de ESET descubrieron una nueva campaña de malware llevada a cabo por el Grupo Winnti, la cual tenía como objetivos varias universidades de Hong Kong. Lo que los investigadores encontraron fue una variante de la puerta trasera ShadowPad (insignia del grupo), implementada usando un nuevo sistema de inicialización (launcher), la cual contenía numerosos módulos. El malware Winnti también fue encontrado en las universidades afectadas unas semanas antes del descubrimiento de ShadowPad.
El Grupo Winnti, activo desde al menos el año 2012, es responsable por ataques en cadena de perfil alto contra industrias de videojuegos y software, habiendo causado la distribución de software infectado (como por ejemplo CCleaner, ASUS LiveUpdate y varios videojuegos) que es usado para luego comprometer a más víctimas. También se le conoce por haber comprometido a varios objetivos en los sectores de la educación y la sanidad.
ShadowPad ha sido encontrado en varias universidades en Hong Kong
Como se indicó anteriormente, en noviembre de 2019 los investigadores en ESET, mediante el uso de su tecnología de machine-learning Augur, detectaron una muestra maliciosa y única que estaba presente en numerosos ordenadores de dos universidades de Hong Kong, donde el malware Winnti ya había sido encontrado a finales de octubre de ese mismo año. La muestra maliciosa detectada por Augur es un nuevo sistema de inicialización de 32 bit. Las muestras tanto de ShadowPad como de Winnti descubiertas en estas universidades contienen identificadores de campaña y URLs de C&C con los nombres de las universidades, lo que indica que se trata de un ataque específico para estas entidades.
Además de las dos universidades comprometidas, gracias al formato usado por los atacantes para las URLs del C&C se sospecha que al menos otras tres universidades de la misma región se han visto afectadas por estas mismas variantes de ShadowPad y Winnti.
Sistema de inicialización actualizado
A diferencia de otras variantes de ShadowPad, el sistema de inicialización utilizado en este caso no se encuentra ofuscado con VMProtect. Además, el payload cifrado tampoco se encuentra dentro del código ni en un conjunto de datos alternativo como COM1:NULL.dat. Asimismo, el cifrado habitual RC5 con una clave derivada de la ID del volumen del equipo víctima tampoco está presente. En este caso el sistema de inicialización resulta ser mucho más simple.
Carga lateral de DLL
El sistema de inicialización es una DLL de 32 bit llamada hpqhvsei.dll, el cual es el nombre de una DLL legítima cargada por hpqhvind.exe. Este ejecutable es de HP y normalmente es instalado con su software de impresión y escaneo llamado «HP Digital Imaging». En este caso el ejecutable legítimo hpqhvind.exe fue lanzado por los atacantes junto a la DLL maliciosa hpqhvsei.dll en la ruta C:\Windows\Temp.
La presencia de estos archivos, según ESET, podrían indicar que la ejecución inicial de este sistema de inicialización se hace mediante la carga lateral de DLL.
Podrá encontrar mas detalles en el sitio de Segurmática.