Eliminar el malware NativeZone
NativeZone Malware es parte del conjunto de herramientas de piratería de Nobelium APT, una organización de ciberdelincuencia más conocida por su ataque contra el proveedor de software SolarWinds. Recientemente, su nombre volvió a ser noticia, pero esta vez debido a una nueva campaña dirigida a organizaciones involucradas en los sectores humanitario y de desarrollo internacional. Para llevar a cabo su ataque, han introducido cuatro nuevas familias de malware, una de las cuales es NativeZone Malware. Por lo general, se elimina después de los implantes BoomBox y EnvyScout.
Pero, ¿cuál es el propósito de NativeZone Malware? Es un cargador de troyanos básico, que utiliza el secuestro de DLL para plantar código malicioso dentro de archivos legítimos que Windows intenta cargar. Uno de los archivos DLL que utiliza NativeZone Malware es CertPKIProvider.dll. NativeZone Malware no se ejecuta solo una vez: el implante BoomBox le otorga persistencia para que se ejecute cada vez que se inicia Windows.
Hasta ahora, NativeZone Malware se ha utilizado exclusivamente para descargar el cuarto implante que utilizan los piratas informáticos de Nobelium: VaporRage. Permite a los atacantes descargar y ejecutar shellcode en sistemas comprometidos, lo que les da un dominio bastante completo sobre la computadora comprometida. En algunos de los sistemas comprometidos, se vio a VaporRage soltando la baliza Cobalt Strike.