Investigadores han publicado un análisis detallado sobre HeartCrypt, un sistema tipo Packer-as-a-Service (PaaS) que ha sido utilizado para infiltrar malware dentro de aplicaciones legítimas. HeartCrypt permite que múltiples actores maliciosos disfracen sus cargas útiles como software confiable para evadir la detección, lo que sugiere un ecosistema criminal compartido.
Cómo Opera HeartCrypt: Técnicas de Inyección y Ofuscación
HeartCrypt es un packer avanzado que modifica binarios legítimos con un alto grado de ofuscación para complicar el análisis de seguridad:
- Inyección de Código: HeartCrypt toma un ejecutable legítimo (por ejemplo, CCleaner.exe) e inyecta un loader malicioso cerca de su punto de entrada original, sobrescribiendo parte del código para garantizar la ejecución del malware primero.
- Payloads Disfrazados: Las cargas maliciosas cifradas se insertan como recursos adicionales dentro del ejecutable legítimo, a menudo haciéndolos pasar por archivos comunes, como bitmaps.
- Cifrado Simple pero Efectivo: El malware utiliza un cifrado sencillo XOR con una clave ASCII estática para ocultar la carga útil. Aunque simple, esta técnica funciona porque el binario ya está camuflado dentro de un ejecutable con buena reputación, y muchas defensas tradicionales no examinan esos recursos incrustados.
- Ofuscación Agresiva: El código del loader está altamente ofuscado con saltos, llamadas innecesarias y bytes basura, lo que complica significativamente su análisis estático y dinámico.
- Técnicas de Side Loading: En algunas campañas, HeartCrypt se apoya en el DLL hijacking, aprovechando la carga dinámica de DLLs en directorios de aplicaciones legítimas para ejecutar el código inyectado.
Distribución e Impacto
- Distribución: Los atacantes envían correos de phishing con enlaces a archivos ZIP protegidos con contraseña alojados en Google Drive, utilizando cuentas comprometidas. La contraseña a menudo se proporciona en el mismo correo, aumentando la confianza de la víctima.
- Gran Escala e Imitación: Sophos ha identificado una infraestructura masiva, incluyendo casi mil servidores de comando y control (C2), miles de muestras analizadas y más de 200 imitaciones de software de compañías conocidas utilizadas como señuelos, lo que subraya que HeartCrypt opera como un servicio criminal de amplio alcance.
Recomendaciones
- Validación de Integridad de Software
- Comparar Firmas y Hashes: Implementar procedimientos para comparar las firmas digitales y los hashes de los ejecutables instalados con las versiones oficiales del proveedor. Cualquier binario modificado debe ser rechazado.
- Control de Aplicaciones: Aplicar políticas de control de aplicaciones como AppLocker o Windows Defender Application Control (WDAC) para permitir la ejecución solo de versiones de ejecutables autorizadas y firmadas de manera segura.
- Monitoreo de Comportamiento
- Alertas de Modificación: Configurar alertas cuando un ejecutable legítimo sea modificado o cuando se detecte una “residencia inesperada” de recursos incrustados.
- Detección de Side Loading: Monitorear y detectar la carga dinámica de DLLs desde directorios locales inusuales, que es una señal clave de ataques de side-loading.
- Procesos de Descifrado: Monitorear los procesos que leen recursos internos del ejecutable para propósitos de descifrado y ejecución.
- Filtrado y Análisis de Correos y Descargas
- Escanear ZIPs Protegidos: Utilizar soluciones de seguridad capaces de escanear archivos ZIP protegidos con contraseña (incluso si provienen de cuentas de Google comprometidas), ya que este es el principal vector de entrega.
- Restricciones de Ejecución: Bloquear la ejecución de binarios en rutas sospechosas, especialmente en directorios de usuario o temporales que no deberían contener ejecutables de instalación.
