Los investigadores de ciberseguridad han revelado detalles de un nuevo Haga clic en Fijar campaña que abusa de sitios legítimos comprometidos para entregar un troyano de acceso remoto (RAT) previamente indocumentado llamado IMITADOR (también conocido como AstarionRat).

«La campaña demuestra un alto nivel de sofisticación operativa: los sitios comprometidos que abarcan varios sectores y geografías sirven como infraestructura de entrega, una cadena PowerShell de varias etapas realiza la elusión de ETW y AMSI antes de dejar caer un cargador de códigos de shell con script LUA, y el implante final se comunica a través de HTTPS en el puerto 443 mediante perfiles HTTP que se asemejan al tráfico legítimo de análisis web», Elastic Security Labs dijo en un informe del viernes.

Según la empresa de ciberseguridad y búsqueda empresarial, MIMICRAT es una RAT de C++ personalizada que admite la suplantación de tokens de Windows, la tunelización de SOCKS5 y un conjunto de 22 comandos para ofrecer amplias capacidades posteriores a la explotación. La campaña se descubrió a principios de este mes.

También se evalúa para compartir superposiciones tácticas e infraestructurales con otra campaña de ClickFix documentada por Huntress que lleva al despliegue del cargador Matanbuchus 3.0, que luego sirve como conducto para la misma RAT. Se sospecha que el objetivo final del ataque es el despliegue de ransomware o la exfiltración de datos.

adsense

En la secuencia de infección resaltada por Elastic, el punto de entrada es bincheck [.] io, un servicio legítimo de validación de números de identificación bancaria (BIN) que fue violado para inyectar código JavaScript malintencionado responsable de cargar un script PHP hospedado externamente. A continuación, el script PHP envía el mensaje de ClickFix al mostrar una página falsa de verificación de Cloudflare e indicar a la víctima que copie y pegue un comando en el cuadro de diálogo de ejecución de Windows para solucionar el problema.

Esto, a su vez, lleva a la ejecución de un comando de PowerShell, que luego se pone en contacto con un servidor de comando y control (C2) para obtener un script de PowerShell de segunda etapa que corrige el registro de eventos de Windows ( ETW ) y análisis antivirus ( AMSI ) antes de dejar caer un cargador basado en Lua. En la fase final, el script de Lua descifra y ejecuta en la memoria el código shell que proporciona MIMICRAT.

El troyano utiliza HTTPS para comunicarse con el servidor C2, lo que le permite aceptar dos docenas de comandos para el control de procesos y sistemas de archivos, el acceso interactivo a la consola, la manipulación de tokens, la inyección de códigos de shell y la tunelización de proxy SOCKS.

«La campaña admite 17 idiomas, y el contenido de los atractivos se localiza dinámicamente según la configuración del idioma del navegador de la víctima para ampliar su alcance efectivo», afirma Salim Bitam, investigador de seguridad. «Las víctimas identificadas se encuentran en varios lugares geográficos, incluida una universidad con sede en EE. UU., y varios usuarios de habla china han sido documentados en debates públicos, lo que sugiere que la persecución es oportunista generalizada».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.