El malware ha sido un juego del gato y el ratón entre hackers e investigadores de seguridad desde que surgieron los primeros virus informáticos. Hoy en día, la mayoría del malware es conocido, al menos en términos de tipo y método de distribución. Sin embargo, a los malos de vez en cuando se les ocurren nuevos trucos para ocultar sus huellas.

La firma de análisis de seguridad Mandiant descubrió recientemente una cadena de ataque "nunca antes vista" que utiliza codificación Base64 en al menos dos sitios web diferentes para entregar la carga útil de segunda etapa de un malware de tres etapas. Los dos sitios web son el sitio web de tecnología ArsTechnica y el sitio web de alojamiento de vídeos Vimeo.

Un usuario publicó una foto de una pizza en el foro ArsTechnica con la leyenda "Me encanta la pizza". No hay nada malo con las imágenes o el texto en sí. Sin embargo, esta foto está alojada en un sitio web de terceros y su URL contiene una cadena Base64. Base64 convertido a ASCII parece caracteres aleatorios, pero en este caso confunde las instrucciones binarias para descargar e instalar la segunda etapa del paquete de malware. En otro caso, apareció una cadena idéntica en la descripción de un vídeo inofensivo en Vimeo.

Un portavoz de ArsTechnica dijo que ArsTechnica eliminó la cuenta, que fue creada en noviembre pasado, después de que un usuario anónimo informara al sitio sobre el extraño enlace a la imagen (abajo).

Mandiant dijo que identificó el código como perteneciente a un actor de amenazas conocido como UNC4990, al que ha estado rastreando desde 2020. Para la mayoría de los usuarios, estas instrucciones no tendrán ningún efecto. Sólo puede ejecutarse en dispositivos que ya contienen el malware de primera etapa (explorer.ps1). La primera etapa de la propagación de UNC4990 es a través de unidades flash infectadas que están configuradas para vincularse a archivos alojados en GitHub y GitLab.

La segunda etapa se llama "espacio vacío" y es un archivo de texto que aparece en blanco en los navegadores y editores de texto. Sin embargo, ábralo con un editor hexadecimal y verá un archivo binario que utiliza esquemas de codificación inteligentes como espacios, tabulaciones y nuevas líneas para crear código binario ejecutable. Mandiant admite que nunca antes había visto esta tecnología.

El investigador de Mandiant, Yash Gupta, dijo: "Esta es una forma diferente y novedosa de abuso que estamos viendo, y es difícil de detectar. No es algo que usualmente vemos en el malware. Esto es muy interesante para nosotros y es algo que queremos señalar".

Después de la ejecución, Emptyspace sondeará continuamente el servidor de comando y control y descargará una puerta trasera llamada "Quietboard" de acuerdo con el comando. UNC4990 explota esta puerta trasera para instalar mineros de criptomonedas en máquinas infectadas. Sin embargo, Mandiant dijo que solo rastreó una instancia de instalación de Quietboard.

Dada la rareza de Quietboard, la amenaza que representan los ataques de UNC4990 es mínima. Sin embargo, explorer.ps1 y Emptyspace pueden tener tasas de infección más altas, lo que deja a los usuarios vulnerables. Mandiant explica cómo detectar la infección en su blog.