Un grupo proveniente de Irán llamado Nemesis Kitten ha declarado ser el autor de un malwarepersonalizado del que no había información hasta ahora, denominado Drokbk, el cual utiliza GitHub como medio para filtrar datos de un ordenador infectado o para ejecutar comandos.
«El uso de GitHub como punto de entrega virtual ayuda al malware a pasar desapercibido».
«Todo el tráfico a GitHub está cifrado, lo que significa que las tecnologías defensivas no pueden ver lo que se está pasando durante la transmisión de los datos. Además de que GitHub es un servicio oficial lo cual plantea menos preguntas».Afirmaciones de Rafe Pilling, investigador principal de Secureworks
Ante esta declaración la comunidad de ciberseguridad reaccionó siguiéndole la pista a Nemesis Kitten bajo diversos nombres, entre ellos TunnelVision, Cobalt Mirage y UNC2448, adicionalmente Microsoft le ha dado la designación DEV-0270.
Respecto a su funcionamiento este nuevo malware «Drokbk», está asociado al clúster B y está programado en .NET. Una vez desplegado encuentra forma de establecer la persistencia en el sistema, consta de un dropper y un payload que se utilizan para ejecutar comandos recibidos de un servidor remoto.
Otro detalle a destacar es que como medida de evasión de la detección, Drokbk emplea una técnica denominada dead drop resolver para determinar su servidor de comando y control (C2). Esta táctica encubierta se refiere al uso de un servicio web externo legítimo existente para alojar información que apunta a una infraestructura C2 adicional.
Según los primeros indicios descubiertos por Secureworks (una de las compañías investigando el malware), esto se consigue aprovechando un repositorio de GitHub controlado por un actor que contiene la información del servidor C2 en el archivo «README.md».
Para mitigar la exposición a Drokbk, los investigadores de la CTU (Secureworks® Counter Threat Unit) recomendaron que las empresas utilicen los controles disponibles para revisar y restringir el acceso utilizando los indicadores enumerados en el aviso, que ya está a disposición del público, publicado en el siguiente enlace.