Los cazadores de amenazas han descubierto similitudes entre un malware bancario llamado Coyote y un programa malicioso recientemente revelado llamado Maverick que se ha propagado a través de WhatsApp.
Según un informe de CyberProof, ambas cepas de malware están escritas en .NET, se dirigen a usuarios y bancos brasileños y presentan una funcionalidad idéntica para descifrar, atacar las URL de los bancos y monitorear las aplicaciones bancarias. Y lo que es más importante, ambas incluyen la capacidad de difundido a través de WhatsApp Web .
Maverick fue primera documentación de Trend Micro a principios del mes pasado, atribuyéndolo a un actor de amenazas denominado Saci de agua . La campaña consta de dos componentes: un malware que se autopropaga, denominado SORVEPOTEL, que se propaga a través de la versión web de escritorio de WhatsApp y se utiliza para enviar un archivo ZIP que contiene la carga útil de Maverick.
El malware está diseñado para monitorear las pestañas activas de las ventanas del navegador en busca de URL que coincidan con una lista codificada de instituciones financieras en América Latina. Si las direcciones URL coinciden, se pone en contacto con un servidor remoto para obtener los siguientes comandos con el fin de recopilar información del sistema y publicar páginas de suplantación de identidad para robar credenciales.
La firma de ciberseguridad Sophos, en un informe posterior , fue el primero en plantear la posibilidad de si la actividad podría estar relacionada con campañas denunciadas anteriormente que difundieron Coyote dirigido a usuarios de Brasil y si Maverick es una evolución de Coyote. Otro análisis de Kaspersky encontrado que Maverick contenía muchos códigos que se superponían con Coyote, pero señaló que lo trata como una amenaza completamente nueva dirigida a Brasil en masa.
Los hallazgos más recientes de CyberProof muestran que el archivo ZIP contiene un acceso directo de Windows (LNK) que, cuando el usuario lo ejecuta, ejecuta cmd.exe o PowerShell para conectarse a un servidor externo («zapgrande [.] com») y descargar la carga útil de la primera etapa. El script de PowerShell es capaz de ejecutar herramientas intermedias diseñadas para deshabilitar el antivirus y el UAC de Microsoft Defender, así como recuperar un cargador.NET.
El cargador, por su parte, cuenta con técnicas de antianálisis para comprobar la presencia de herramientas de ingeniería inversa y autodestruirse si las encuentra. A continuación, el cargador procede a descargar los principales módulos del ataque: SORVEPOTEL y Maverick. Cabe mencionar aquí que Maverick solo se instala después de asegurarse de que la víctima se encuentra en Brasil comprobando la zona horaria, el idioma, la región y el formato de fecha y hora del host infectado.
CyberProof dijo que también encontró evidencia de que el malware se estaba utilizando para identificar hoteles en Brasil, lo que indica una posible expansión de la segmentación.
La revelación se produce cuando Trend Micro detalló la nueva cadena de ataque de Water Saci, que emplea una infraestructura de comando y control (C2) basada en el correo electrónico, se basa en la persistencia multivectorial para lograr resiliencia e incorpora varias comprobaciones avanzadas para evitar la detección, mejorar el sigilo operativo y restringir la ejecución únicamente a los sistemas en idioma portugués.
«La nueva cadena de ataques también incluye un sofisticado sistema remoto de mando y control que permite a los actores de amenazas gestionar en tiempo real, incluida la pausa, la reanudación y la supervisión de la campaña del malware, convirtiendo de forma eficaz las máquinas infectadas en una herramienta de botnet para operaciones coordinadas y dinámicas en varios puntos finales», dijo la empresa de ciberseguridad dijo en un informe publicado a finales del mes pasado.
|
| Se observa una nueva cadena de ataques de Water Saci |
La secuencia de infección evita los binarios.NET en favor de Visual Basic Script (VB Script) y PowerShell para secuestrar las sesiones del navegador de WhatsApp y difundir el archivo ZIP a través de la aplicación de mensajería. Al igual que en la cadena de ataque anterior, el secuestro web de WhatsApp se realiza mediante la descarga Controlador Chrome y Selenium para la automatización de navegadores.
El ataque se desencadena cuando un usuario descarga y extrae el archivo ZIP, que incluye un descargador de VBS ofuscado («Orcamento.vbs», también conocido como SORVEPOTEL), que, a su vez, emite un comando de PowerShell para descargar y ejecutar un script de PowerShell («tadeu.ps1") directamente en la memoria.
Este script de PowerShell se usa para tomar el control de la sesión web de WhatsApp de la víctima y distribuir los archivos ZIP maliciosos a todos los contactos asociados a su cuenta, además de mostrar un banner engañoso llamado «WhatsApp Automation v6.0» para ocultar su intención maliciosa. Además, el script contacta con un servidor C2 para buscar plantillas de mensajes y filtrar las listas de contactos.
«Tras finalizar cualquier proceso de Chrome existente y borrar las sesiones antiguas para garantizar un funcionamiento limpio, el malware copia los datos legítimos del perfil de Chrome de la víctima en su espacio de trabajo temporal», afirma Trend Micro. «Estos datos incluyen las cookies, los tokens de autenticación y la sesión de navegador guardada».
|
| Cronología de la campaña Water Saci |
«Esta técnica permite al malware eludir por completo la autenticación de WhatsApp Web y obtener acceso inmediato a la cuenta de WhatsApp de la víctima sin activar alertas de seguridad ni requerir el escaneo del código QR».
El malware, agregó la empresa de ciberseguridad, también implementa un sofisticado mecanismo de control remoto que permite al adversario pausar, reanudar y monitorear la propagación de WhatsApp en tiempo real, convirtiéndolo de manera efectiva en malware capaz de controlar a los anfitriones comprometidos como un bot.
En cuanto a la forma en que distribuye realmente el archivo ZIP, el código de PowerShell recorre todos los contactos recopilados y comprueba si hay un comando de pausa antes de enviar mensajes personalizados sustituyendo las variables de la plantilla de mensajes por saludos y nombres de contacto basados en la hora.
Otro aspecto importante de SORVEPOTEL es que aprovecha las conexiones IMAP a las cuentas de correo electrónico de terra.com [.] br mediante credenciales de correo electrónico codificadas para conectarse a la cuenta de correo electrónico y recuperar comandos, en lugar de utilizar una comunicación tradicional basada en HTTP. Algunas de estas cuentas se han protegido mediante la autenticación multifactor (MFA) para evitar el acceso no autorizado.
Se dice que esta capa de seguridad adicional ha introducido retrasos operativos, ya que cada inicio de sesión requiere que el actor de la amenaza introduzca manualmente un código de autenticación único para acceder a la bandeja de entrada y guardar la URL del servidor C2 utilizada para enviar los comandos. A continuación, la puerta trasera sondea periódicamente el servidor C2 para ver si ha obtenido la instrucción. La lista de comandos compatibles es la siguiente:
- INFO, para recopilar información detallada del sistema
- CMD, para ejecutar un comando a través de cmd.exe y exportar los resultados de la ejecución a un archivo temporal
- POWERSHELL, para ejecutar un comando de PowerShell
- CAPTURA DE PANTALLA, para hacer capturas de pantalla
- TASKLIST, para enumerar todos los procesos en ejecución
- KILL, para terminar un proceso específico
- LIST_FILES, para enumerar archivos/carpetas
- DOWNLOAD_FILE, para descargar archivos del sistema infectado
- UPLOAD_FILE, para subir archivos al sistema infectado
- ELIMINAR, para eliminar archivos/carpetas específicos
- CAMBIAR NOMBRE, para cambiar el nombre de archivos/carpetas
- COPIAR, para copiar archivos/carpetas
- MOVE, para mover archivos/carpetas
- FILE_INFO, para obtener metadatos detallados sobre un archivo
- BUSCAR, para buscar de forma recursiva archivos que coincidan con patrones especificados
- CREATE_FOLDER, para crear carpetas
- REBOOT, para iniciar un reinicio del sistema con un retraso de 30 segundos
- APAGAR, para iniciar el apagado del sistema con un retraso de 30 segundos
- ACTUALIZAR, para descargar e instalar una versión actualizada de sí mismo
- CHECK_EMAIL, para comprobar si hay nuevas URL C2 en el correo electrónico controlado por el atacante
La naturaleza generalizada de la campaña se debe a la popularidad de WhatsApp en Brasil, que tiene más de 148 millones de usuarios activos , lo que lo convierte en el segundo mercado más grande del mundo después de la India.
«Los métodos de infección y la evolución táctica en curso, junto con la segmentación centrada en la región, indican que es probable que Water Saci esté vinculada a Coyote, y ambas campañas operan dentro del mismo ecosistema cibercriminal brasileño», afirma Trend Micro, que califica a los atacantes de agresivos «en cantidad y calidad».
«La vinculación de la campaña Water Saci con Coyote revela un panorama más amplio que muestra un cambio significativo en los métodos de propagación del troyano bancario. Los actores de amenazas han pasado de confiar en las cargas útiles tradicionales a explotar perfiles de navegador y plataformas de mensajería legítimos para realizar ataques sigilosos y escalables».