Los investigadores de ciberseguridad llaman la atención sobre una nueva campaña denominada ES #SMUGGLER que se ha observado que aprovecha sitios web comprometidos como vector de distribución para un troyano de acceso remoto llamado NetSupport RAT .
La cadena de ataque, analizada por Securonix, consta de tres partes principales: un cargador de JavaScript ofuscado que se inyecta en un sitio web, una aplicación HTML (HTA) que ejecuta etapas de PowerShell cifradas con "mshta.exe» y una carga útil de PowerShell diseñada para descargar y ejecutar el malware principal.
«NetSupport RAT permite a los atacantes tener un control total sobre el host de la víctima, incluido el acceso remoto al escritorio, las operaciones de archivos, la ejecución de comandos, el robo de datos y las capacidades de proxy», afirman los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee dijo .
En este momento, hay pocas pruebas que vinculen la campaña con algún grupo o país de amenaza conocido. Se ha descubierto que la actividad está dirigida a usuarios empresariales a través de sitios web comprometidos, lo que indica que se trata de un esfuerzo generalizado.
La empresa de ciberseguridad la describió como una operación de malware basada en la web de varias etapas que emplea iframes ocultos, cargadores ofuscados y ejecución de scripts por capas para la implementación del malware y el control remoto.
En estos ataques, los redireccionamientos silenciosos incrustados en los sitios web infectados sirven de conducto para un cargador de JavaScript (» phone.js «) muy desordenado que se recupera de un dominio externo, que, a continuación, perfila el dispositivo para determinar si se debe mostrar un iframe a pantalla completa (cuando se visita desde un teléfono móvil) o cargar otro script remoto de segunda fase (cuando se visita desde un escritorio).
El iframe invisible está diseñado para dirigir a la víctima a una URL maliciosa. El cargador de JavaScript incorpora un mecanismo de seguimiento para garantizar que la lógica maliciosa se active solo una vez y durante la primera visita, lo que minimiza las posibilidades de detección.
«Esta ramificación basada en los dispositivos permite a los atacantes adaptar la ruta de infección, ocultar la actividad maliciosa de ciertos entornos y maximizar su tasa de éxito al entregar cargas útiles apropiadas para la plataforma y, al mismo tiempo, evitar una exposición innecesaria», afirman los investigadores.
El script remoto descargado en la primera fase del ataque sienta las bases al crear, en tiempo de ejecución, una URL desde la que se descarga y ejecuta una carga útil de HTA mediante «mshta.exe». La carga útil del HTA es otro cargador para un stager temporal de PowerShell, que se graba en el disco, se descifra y se ejecuta directamente en la memoria para evitar ser detectado.
Además, el archivo HTA se ejecuta de forma sigilosa al deshabilitar todos los elementos visibles de la ventana y minimizar la aplicación al inicio. Una vez ejecutada la carga útil descifrada, también toma medidas para eliminar el stager de PowerShell del disco y se cierra automáticamente para evitar dejar el mayor número posible de rastros forenses.
El objetivo principal de la carga útil descifrada de PowerShell es recuperar e implementar NetSupport RAT, lo que otorga al atacante un control total sobre el host comprometido.
«La sofisticación y las técnicas de evasión por capas indican claramente que se trata de un marco de malware de nivel profesional que se mantiene activamente», afirma Securonix. «Para detectar estos ataques de forma eficaz, los defensores deben aplicar rigurosamente el control de los CSP, supervisar los scripts, registrar PowerShell, restringir los archivos mshta.exe y analizar el comportamiento».
CHAMELEON #NET ofrece malware para formbooks
La revelación se produce semanas después de que la empresa también detallara otra campaña de correo no deseado en varias etapas denominada CHAMELEON #NET, que utiliza correos electrónicos de suplantación de identidad para entregar Libro de formularios , un registrador de teclas y un ladrón de información. El objetivo de los mensajes de correo electrónico es incitar a las víctimas del Sector Nacional de la Seguridad Social a descargar un archivo aparentemente inofensivo con sus credenciales en un portal de correo web falso diseñado para este propósito.
«Esta campaña comienza con un correo electrónico de suplantación de identidad que engaña a los usuarios para que descarguen un archivo.BZ2, lo que inicia una cadena de infección en varias etapas», dijo Sangwan dijo . «La carga inicial es un archivo JavaScript muy ofuscado que actúa como un cuentagotas, lo que lleva a la ejecución de un complejo cargador de VB.NET. Este cargador utiliza la reflexión avanzada y un cifrado XOR condicional personalizado para descifrar y ejecutar su carga útil final, el Formbook RAT, completamente en la memoria».
Concretamente, el cuentagotas de JavaScript decodifica y escribe en el disco del directorio %TEMP% dos archivos JavaScript adicionales:
- svchost.js, que elimina un ejecutable del cargador de.NET denominado Tortilla oscura (» QNaZg.exe «), un cifrador que se usa a menudo para distribuir las cargas útiles de la siguiente etapa
- adobe.js, que elimina un archivo llamado "PHat.jar», un paquete de instalación de MSI que muestra un comportamiento similar al de "svchost.js»
En esta campaña, el cargador está configurado para descifrar y ejecutar una DLL incrustada, el malware Formbook. La persistencia se logra agregándolo a la carpeta de inicio de Windows para garantizar que se inicie automáticamente al reiniciar el sistema. Como alternativa, también gestiona la persistencia a través del Registro de Windows.
«Los actores de amenazas combinan ingeniería social, una intensa ofuscación de guiones y técnicas avanzadas de evasión de .NET para comprometer con éxito a los objetivos», afirma Securonix. «El uso de una rutina de descifrado personalizada seguida de una carga reflexiva permite ejecutar la carga final sin necesidad de archivos, lo que complica considerablemente la detección y el análisis forense».