Los investigadores de ciberseguridad han descubierto una campaña en curso dirigida a los usuarios indios con una puerta trasera de varias etapas como parte de una supuesta campaña de ciberespionaje.
El actividad , según la Unidad de Respuesta a Amenazas (TRU) de eSentire, implica el uso de correos electrónicos de suplantación de identidad que se hacen pasar por el Departamento de Impuestos sobre la Renta de la India para engañar a las víctimas y hacerles descargar un archivo malicioso y, en última instancia, conceder a los actores de la amenaza un acceso persistente a sus máquinas para la supervisión continua y la exfiltración de datos.
El objetivo final de este sofisticado ataque es desplegar una variante de un troyano bancario conocido llamado Blackmoon (también conocido como KRBanker) y una herramienta empresarial legítima llamada SyncFuture TSM (Terminal Security Management) desarrollada por La calificación de Nanjing Zhongke Huasai Technology Co., Ltd. es de 4.67 (13 votos sumados) , una empresa china. La campaña no se ha atribuido a ningún actor o grupo de amenazas conocido.
«Si bien se comercializa como una herramienta empresarial legítima, en esta campaña se reutiliza como un poderoso marco de espionaje todo en uno», dijo eSentire. «Al implementar este sistema como su última carga útil, los atacantes logran una persistencia sólida y disponen de un amplio conjunto de funciones para supervisar la actividad de las víctimas y gestionar de forma centralizada el robo de información confidencial».
El archivo ZIP distribuido a través de los avisos falsos de penalización fiscal contiene cinco archivos diferentes, todos ellos ocultos, excepto un ejecutable («Inspection Document Review.exe «) que se utiliza para descargar una DLL maliciosa presente en el archivo. La DLL, por su parte, implementa comprobaciones para detectar los retrasos provocados por el depurador y se pone en contacto con un servidor externo para obtener la carga útil de la siguiente etapa.
A continuación, el shellcode descargado utiliza una técnica basada en COM para omitir la solicitud de control de cuentas de usuario (UAC) y obtener privilegios administrativos. También modifica su propio bloque de entorno de procesos ( PEB ) para hacerse pasar por el proceso legítimo "explorer.exe" de Windows y pasar desapercibido.
Además, recupera la siguiente etapa, "180.exe", del dominio «eaxwwyr [.] cn», un instalador de Inno Setup de 32 bits que ajusta su comportamiento en función de si el proceso de Avast Free Antivirus (» AvastUI.exe «) se está ejecutando en el host comprometido.
Si se detecta el programa de seguridad, el malware utiliza la simulación automática del ratón para navegar por la interfaz de Avast y añadir archivos maliciosos a su lista de exclusión sin desactivar el motor antivirus para evitar la detección. Esto se consigue mediante un DLL que se considera una variante del Luna negra familia de malware, conocida por atacar a empresas de Corea del Sur , EE. UU. y Canadá . Es apareció por primera vez en septiembre de 2015.
El archivo agregado a la lista de exclusión es un ejecutable denominado "Setup.exe», que es una utilidad de SyncFutureTec Company Limited y está diseñado para escribir "mysetup.exe" en el disco. Esta última se considera SyncFuture TSM, una herramienta comercial con funciones de supervisión y administración remotas (RMM).
Al abusar de una oferta legítima, los actores de amenazas detrás de la campaña obtienen la capacidad de controlar de forma remota los puntos finales infectados, registrar las actividades de los usuarios y filtrar los datos de interés. Tras la ejecución del ejecutable, también se implementan otros archivos:
- Secuencias de comandos por lotes que crean directorios personalizados y modifican sus listas de control de acceso (ACL) para conceder permisos a todos los usuarios
- Secuencias de comandos por lotes que manipulan los permisos de usuario en las carpetas del escritorio
- Un script por lotes realiza operaciones de limpieza y restauración
- Un ejecutable llamado "MANC.exe" que organiza diferentes servicios y permite un registro extenso
«Les proporciona las herramientas no solo para robar datos, sino también para mantener un control granular sobre el entorno comprometido, monitorear la actividad de los usuarios en tiempo real y garantizar su propia persistencia», dijo eSentire. «Al combinar la antianálisis, la escalada de privilegios, la descarga secundaria de archivos DLL, la reutilización de herramientas comerciales y la evasión del software de seguridad, el actor de amenazas demuestra tanto su capacidad como su intención».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS