• Elastic Security descubrió una campaña sigilosa de malware que aprovecha los certificados de firma de código válidos para evadir la detección.
• Un nuevo cargador de malware, BLISTER, se utilizó para ejecutar cargas útiles de malware de segunda etapa en la memoria y mantener la persistencia.
• Las muestras de malware identificadas tienen detecciones muy bajas o nulas en VirusTotal
• Elastic proporcionó cobertura de prevención en capas de esta amenaza lista para usar

Descripción general

El equipo de Elastic Security identificó un grupo notable de actividad maliciosa después de revisar nuestra telemetría de prevención de amenazas. Se utiliza un certificado de firma de código válido para firmar malware para ayudar a los atacantes a permanecer fuera del radar de la comunidad de seguridad. También descubrimos un nuevo cargador de malware utilizado en la campaña, al que hemos denominado BLISTER. La mayoría de las muestras de malware observadas tienen detecciones muy bajas o nulas en VirusTotal . El vector de infección y los objetivos de los atacantes siguen sin conocerse en este momento.

El enfoque en capas de Elastic para prevenir ataques protege de esta y otras amenazas similares.

En un ataque prevenido, nuestra prevención de comportamiento malicioso desencadenó múltiples alertas de alta confianza para la ejecución a través de proxy binario firmado renombrado , administrador de errores de Windows / enmascaramiento de informes y ejecución sospechosa de PowerShell a través de scripts de Windows . Además, nuestra prevención de amenazas a la memoria identificó y evitó que BLISTER inyectara su carga útil integrada en los procesos de destino.

Informe completo en el Blog de Elastic.