El nuevo malware Blister usa certificados de firma de código para evadir la detección

Investigadores de seguridad cibernética revelaron los detalles de una campaña de malware evasiva que hace uso de certificados de firma de código válidos, con el fin de escabullirse de las defensas de seguridad y permanecer bajo el rada con el objetivo de implementar cargas útiles de Cobalt Strike y BitRAT en sistemas comprometidos.

El binario es un cargador bajo el nombre de Blister, apodado así por los investigadores de Elastic Security, y las muestras de malware tienen detecciones insignificantes o nulas en VirusTotal. Hasta este momento, se desconoce el vector de infección utilizado para organizar el ataque, así como los objetivos finales de la intrusión.

Un aspecto notable de los ataques es que aprovechan un certificado de firma de código válido emitido por Sectigo. Se ha observado que el malware está firmado con el certificado en cuestión que data del 15 de septiembre de 2021. Elastic afirmó que se comunicó con la compañía para asegurarse de que los certificados abusados sean revocados.

Blister se hace pasar por una biblioteca legítima llamada colorui.dll, y se entrega a través de un cuentagotas llamado «dxpo8umrzrr1w6gm.exe». Luego de la ejecución, el cargador está diseñado para dormir por 10 minutos, probablemente como un intento de evadir el análisis de sandbox, solo para seguir estableciendo persistencia y descifrando una carga útil de malware incrustado como Cobalt Strike o BitRAT.

«Una vez descifrada, la carga útil incorporada se carga en el proceso actual o se inyecta en un proceso WerFault.exe (Informe de Errores de Windows) recién generado», dijeron los investigadores.

Se puede acceder a los indicadores de compromiso (IoC) adicionales asociados con la campaña en este enlace.