En resumen: se supone que el registro de eventos de Windows y el Visor de eventos ayudan a los usuarios a diagnosticar problemas de seguridad y otros problemas en las PC. Sin embargo, los investigadores de Kaspersky se encontraron con un pirata informático que usó el registro de eventos contra su objetivo.
La semana pasada, Kaspersky publicó un análisis detallado de un ataque complejo que comenzó el otoño pasado. Implicaba una combinación de varias técnicas y piezas de software, pero los investigadores de seguridad de Kaspersky destacaron el uso de registros de eventos de Windows como algo completamente nuevo.
En una etapa de la campaña de piratería, el atacante insertó un código shell en los registros de eventos de Windows del objetivo. Este método de almacenamiento de malware es particularmente sigiloso porque no deja archivos que el antivirus pueda detectar.
La campaña también involucró una gran suite de software tanto comercial como casero. Involucró el secuestro de DLL, un troyano, envoltorios anti-detección, imitación de dominio web y más. El atacante incluso firmó personalmente parte de su software personalizado para que pareciera más legítimo.
La escala y la singularidad del ataque indican que se diseñó para un sistema objetivo específico. El primer paso implicó ingeniería social, en el que el atacante convenció a la víctima de descargar y ejecutar un archivo .rar del sitio legítimo de intercambio de archivos file.io en septiembre. Al menos, esto debería ser un recordatorio contra hacer clic en enlaces de extraños, y mucho menos descargar y ejecutar archivos desde ellos.
Kaspersky no pudo vincular el ataque con ningún sospechoso conocido ni determinar su propósito final. Sin embargo, los investigadores le dijeron a BleepingComputer que los ataques similares generalmente tienen como objetivo obtener datos valiosos de sus objetivos.