Los investigadores de ciberseguridad han revelado detalles de una campaña de suplantación de identidad que lanza un sigiloso malware bancario convertido en troyano de acceso remoto llamado Moster Erat .
El ataque de suplantación de identidad incorpora una serie de técnicas avanzadas de evasión para obtener el control total de los sistemas comprometidos, extraer datos confidenciales y ampliar su funcionalidad al ofrecer complementos secundarios, según Fortinet FortiGuard Labs.
«Estos incluyen el uso de un lenguaje de programación sencillo ( EPL ) para desarrollar una carga útil por etapas, ocultar las operaciones maliciosas y deshabilitar las herramientas de seguridad para evitar que se activen alertas, proteger las comunicaciones de comando y control (C2) mediante TLS (mTLS) mutuo, admitir varios métodos para implementar cargas útiles adicionales e incluso instalar herramientas populares de acceso remoto», Yurren Wan dijo .
EPL es un lenguaje de programación visual poco conocido que admite variantes en chino tradicional, chino simplificado, inglés y japonés. Está dirigido principalmente a usuarios que tal vez no dominen el inglés.
Los correos electrónicos, que están diseñados principalmente para dirigirse a usuarios japoneses, utilizan señuelos relacionados con consultas comerciales para engañar a los destinatarios para que hagan clic en enlaces maliciosos que los llevan a un sitio infectado para descargar un documento con trampa explosiva: un archivo de Microsoft Word que incluye un archivo ZIP.
Dentro del archivo ZIP hay un ejecutable que, a su vez, desencadena la ejecución de MosterErat, que luego se usa para eliminar varias herramientas como AnyDesk, TigerVNC y TightVNC mediante módulos escritos en EPL. Un aspecto destacable del malware es su capacidad para desactivar los mecanismos de seguridad de Windows y bloquear el tráfico de red asociado a una lista codificada de programas de seguridad, lo que le permite eludir la detección.
«Esta técnica de bloqueo del tráfico se parece a la de la conocida herramienta del equipo rojo ' Silenciador EDR ', que utiliza filtros de la Plataforma de filtrado de Windows (WFP) en varias etapas de la pila de comunicaciones de la red, lo que impide de manera efectiva que se conecte a sus servidores y transmita datos de detección, alertas, registros de eventos u otros datos de telemetría», dijo Wan.
Otra es su capacidad para ejecutarse como TrustedInstaller, una cuenta de sistema Windows integrada con permisos elevados, que le permite interferir con los procesos críticos de Windows, modificar las entradas del registro de Windows y eliminar los archivos del sistema.
Además, uno de los módulos desplegados por MosterErat está equipado para monitorear la actividad de las ventanas en primer plano asociada a Qianniu, la herramienta de ventas de Alibaba, registrar las pulsaciones de teclas, enviar señales de latido a un servidor externo y procesar los comandos emitidos por el servidor.
Los comandos le permiten recopilar detalles del anfitrión de la víctima, ejecutar archivos DLL, EPK o EXE, cargar código shell, leer, escribir o eliminar archivos, descargar e insertar un EXE en svchost.exe mediante Early Bird Injection, enumerar usuarios, capturar capturas de pantalla, facilitar los inicios de sesión de RDP e incluso crear y añadir un usuario oculto al grupo de administradores.
«Estas tácticas aumentan significativamente la dificultad de detección, prevención y análisis», dijo Fortinet. «Además de mantener la solución actualizada, sigue siendo esencial educar a los usuarios sobre los peligros de la ingeniería social».
ClickFix recibe otro giro novedoso
Los hallazgos coinciden con el surgimiento de otra campaña que emplea» Haga clic en Fijar técnicas al estilo «-esque» para distribuir un ladrón de información básica conocido como MetaStealer a los usuarios que buscan herramientas como AnyDesk.
La cadena de ataque consiste en publicar una página falsa de Cloudflare Turnstile antes de descargar el supuesto instalador de AnyDesk, y les pide que hagan clic en una casilla de verificación para completar un paso de verificación. Sin embargo, esta acción desencadena un mensaje emergente en el que se les pide que abran el Explorador de archivos de Windows.
Una vez abierto el Explorador de archivos de Windows, el código PHP oculto en la página de verificación de Turnstile se configura para emplear el» búsqueda-ms: «Controlador de protocolo URI para mostrar un archivo de acceso directo de Windows (LNK) disfrazado de PDF que está alojado en el sitio de un atacante.
El archivo LNK, por su parte, activa una serie de pasos para recopilar el nombre de host y ejecutar un paquete MSI que es el responsable final de eliminar MetaStealer.
«Este tipo de ataques, que requieren cierto nivel de interacción manual por parte de la víctima, ya que trabajan para 'arreglar' por sí misma el supuesto proceso interrumpido, funcionan en parte porque pueden eludir las soluciones de seguridad», dijo Huntress dijo . «Los actores de amenazas siguen avanzando en sus cadenas de infección, lo que supone un obstáculo para la detección y la prevención».
La revelación también se produce cuando CloudSEK detalló una novedosa adaptación de la táctica de ingeniería social de ClickFix que aprovecha las indicaciones invisibles utilizando métodos de ofuscación basados en CSS para convertir los sistemas de inteligencia artificial en armas y producir resúmenes que incluyen instrucciones de ClickFix controladas por el atacante.
El ataque de prueba de concepto (PoC) se lleva a cabo mediante el uso de una estrategia denominada sobredosis inmediata, en la que la carga útil se incrusta ampliamente en el contenido HTML de modo que domina la ventana de contexto de un modelo de lenguaje grande a fin de dirigir su producción.
«Este enfoque se dirige a los resumidores integrados en aplicaciones como los clientes de correo electrónico, las extensiones de navegador y las plataformas de productividad», dijo la empresa dijo . «Al aprovechar la confianza que los usuarios depositan en los resúmenes generados por la IA, el método ofrece de forma encubierta instrucciones maliciosas paso a paso que pueden facilitar el despliegue del ransomware».
«La sobredosis inmediata es una técnica de manipulación que desborda la ventana de contexto de un modelo de IA con contenido repetido y de alta densidad para controlar su producción. Al saturar la entrada con texto elegido por el atacante, se deja de lado el contexto legítimo y la atención del modelo vuelve a centrarse constantemente en la carga útil inyectada».