Ένα ολοκαίνουργιο κακόβουλο λογισμικό ανακάλυψαν οι ερευνητές κυβερνοασφάλειας της Trend Micro, το οποίο χρησιμοποιεί μια ασυνήθιστη μέθοδο για να «κρύβεται» από τα προγράμματα προστασίας από ιούς.
Το κακόβουλο λογισμικό χρησιμοποιείται από την Winnti με την ονομασία UNAPIMON.
Η Winnti ένας καθιερωμένος κινεζικός κρατικά χρηματοδοτούμενος φορέας απειλών, βρισκόταν πίσω από τις πιο καταστροφικές επιθέσεις εναντίον κυβερνήσεων, προμηθευτών υλικού και λογισμικού, δεξαμενών σκέψης και άλλων.
Σύμφωνα με την Trend Micro, πολλές παραλλαγές κακόβουλου λογισμικού χρησιμοποιούν μια μέθοδο γνωστή ως API hooking για να «κρυφακούσουν» τις κλήσεις, να αρπάξουν ευαίσθητα δεδομένα και να τροποποιήσουν διάφορα λογισμικά. Ως εκ τούτου, πολλά εργαλεία ασφαλείας χρησιμοποιούν επίσης το API hooking για τον εντοπισμό του κακόβουλου λογισμικού.
«Με το UNAPIMON, τα πράγματα είναι διαφορετικά. Χρησιμοποιεί το Microsoft Detours για την αγκίστρωση της λειτουργίας API CreateProcessW, η οποία του επιτρέπει να αποσυνδέει κρίσιμες λειτουργίες API, αποφεύγοντας με επιτυχία την ανίχνευση του από τα antivirus.
Ένα μοναδικό και αξιοσημείωτο χαρακτηριστικό αυτού του κακόβουλου λογισμικού είναι η απλότητα και η πρωτοτυπία του», αναφέρει η Trend Micro στην έκθεσή της.
«Η χρήση υφιστάμενων τεχνολογιών, όπως το Microsoft Detours, δείχνει ότι οποιαδήποτε απλή και έτοιμη βιβλιοθήκη μπορεί να χρησιμοποιηθεί κακόβουλα, αν χρησιμοποιηθεί δημιουργικά. Αυτό έδειξε επίσης την ικανότητα κωδικοποίησης και τη δημιουργικότητα του συγγραφέα του κακόβουλου λογισμικού».
«Σε τυπικά σενάρια, το κακόβουλο λογισμικό είναι αυτό που κάνει το hooking. Ωστόσο, σε αυτή την περίπτωση συμβαίνει το αντίθετο».
Στο κείμενό του, το BleepingComputer περιέγραψε τους χάκερς της Winnti ως «γνωστούς για τις καινοτόμες μεθόδους αποφυγής της ανίχνευσης κατά τη διεξαγωγή επιθέσεων».
Το 2020, η ομάδα εντοπίστηκε να κάνει κατάχρηση των επεξεργαστών εκτύπωσης των Windows για να κρύψει ένα κομμάτι κακόβουλου λογισμικού και να επιμείνει στο δίκτυο-στόχο. Δύο χρόνια αργότερα, έσπασαν έναν φάρο Cobalt Strike σε περισσότερα από εκατό κομμάτια και τον ανακατασκεύασαν μόνο όταν χρειάστηκε να τον χρησιμοποιήσουν.