APTualizador: el malware dirigido que parchea Windows

APTualizador: el malware dirigido que parchea Windows

A finales de junio de 2019 asistimos a un incidente en el que los equipos comienzan a reiniciarse prácticamente a la vez y sin causa aparente. En paralelo, Kaspersky detecta la presencia de un archivo llamado swaqp.exe, aparentemente no disponible en ningún agregador de antivirus o plataforma pública en ese momento. Intentamos determinar si este archivo puede ser el causante de los reinicios y si realmente estamos ante una amenaza de malware.

Nos llama la atención que en un primer análisis rápido observamos que la muestra descargaba la actualización de seguridad legítima de Windows KB3033929, aunque lo hacía desde un servidor no oficial. En otras palabras: instalaba el archivo legítimo (firmado por Microsoft) desde un servidor no oficial. No es un comportamiento habitual del malware por dos razones.

  • Los creadores de malware suelen crear sus artefactos minimizando dependencias adicionales (librerías) que podrían no estar incluidas en los equipos de las potenciales víctimas.
  • Por otro lado, el malware no suele estar interesado en que los equipos se encuentren actualizados, y mucho menos intenta actualizarlos con parche alguno. No es el comportamiento habitual en el contexto de una posible muestra de malware.

A partir de aquí, comenzamos a investigar y encontramos el APT al que hemos llamado APTualizador.

» Descarga el análisis completo: “Descubriendo APTualizador: el APT que parchea Windows”


facebooktwitterlinkedinmail