Una campaña de suplantación de identidad en curso se dirige a los entornos corporativos francófonos con currículums falsos que conducen al despliegue de mineros de criptomonedas y ladrones de información.

«La campaña utiliza archivos VBScript muy confusos disfrazados de documentos de currículum vitae y enviados a través de correos electrónicos de suplantación de identidad», dijeron Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee, investigadores de Securonix dijo en un informe compartido con The Hacker News.

«Una vez ejecutado, el malware implementa un conjunto de herramientas multipropósito que combina el robo de credenciales, la exfiltración de datos y la minería de criptomonedas de Monero para obtener la máxima monetización».

La actividad tiene un nombre en clave FALSO #ELEVATE de la empresa de ciberseguridad. La campaña destaca por el abuso de servicios e infraestructuras legítimos, como Dropbox para almacenar cargas útiles, los sitios marroquíes de WordPress para alojar la configuración de comando y control (C2) y la infraestructura SMTP de mail [.] ru para filtrar credenciales de navegador y archivos de escritorio robados.

Este es un ejemplo de ataque al estilo de vivir de la tierra firme, que eleva el listón en cuanto a la forma en que los atacantes pueden engañar a los mecanismos de defensa y entrar sigilosamente en el sistema del objetivo sin llamar demasiado la atención.

adsense

El archivo cuentagotas inicial es un script de Visual Basic (VBScript) que, al abrirse, muestra un mensaje de error falso en francés que engaña a los destinatarios del mensaje haciéndoles creer que el archivo está dañado. Sin embargo, lo que ocurre entre bastidores es que el script, muy confuso, ejecuta una serie de comprobaciones para evitar los entornos limitados y entra en un bucle persistente de control de cuentas de usuario (UAC) que pide a los usuarios que lo ejecuten con privilegios de administrador.

Cabe destacar que de las 224.471 líneas del script, solo 266 líneas contienen código ejecutable real. El resto del script está lleno de comentarios basura con frases aleatorias en inglés, lo que aumenta el tamaño del archivo a 9,7 MB.

«El malware también utiliza una puerta de unión de dominios que utiliza WMI [La instrumentación de administración de Windows], que garantiza que las cargas útiles solo se entreguen en las máquinas empresariales, y los sistemas domésticos independientes se excluyan por completo», afirman los investigadores.

Tan pronto como el dropper obtiene los privilegios administrativos, no pierde tiempo desactivando los controles de seguridad y ocultando sus huellas configurando las rutas de exclusión de Microsoft Defender para todas las letras de la unidad principal (de la C a la I), deshabilitando el UAC mediante un cambio en el registro de Windows y eliminándose a sí mismo.

El cuentagotas también es responsable de buscar dos archivos 7-Zip independientes protegidos con contraseña alojados en Dropbox -

  • gmail2.7z, que contiene varios ejecutables para robar datos y extraer criptomonedas
  • gmail_ma.7z, que contiene utilidades para la persistencia y la limpieza

Entre las herramientas que se utilizan para facilitar el robo de credenciales hay un componente que aprovecha la Elevador cromado proyecto para extraer datos confidenciales de los navegadores basados en Chromium eludiendo el cifrado vinculado a la aplicación ( ABÉ ) protecciones. Algunas de las otras herramientas incluyen -

  • mozilla.vbs, un malware de VBScript para robar el perfil y las credenciales de Mozilla Firefox
  • walls.vbs, una carga útil de VBScript para la exfiltración de archivos de escritorio
  • mservice.exe, un minero de criptomonedas XMRig que se lanza después de recuperar la configuración de minería de un sitio de WordPress marroquí comprometido
  • WinRing0x64.sys, un controlador legítimo del kernel de Windows que se usa para desbloquear todo el potencial de minería de la CPU
  • RuntimeHost.exe, un componente troyano persistente que modifica las reglas del Firewall de Windows y se comunica periódicamente con un servidor C2
enlaces

Los datos del único navegador se filtran mediante dos cuentas de remitente distintas de mail [.] ru (» olga.aitsaid@mail.ru "y" 3pw5nd9neeyn@mail.ru «) que comparten la misma contraseña a través de SMTP con otra dirección de correo electrónico gestionada por el autor de la amenaza (» vladimirprolitovitch@duck.com «).

Una vez que se completan las actividades de robo y exfiltración de credenciales, la cadena de ataque inicia una limpieza agresiva de todas las herramientas caídas en un intento por minimizar el impacto forense, dejando atrás solo al minero y al troyano.

«La campaña FAUX #ELEVATE demuestra una operación de ataque bien organizada y en varias etapas que combina varias técnicas notables en una sola cadena de infección», afirma Securonix.

«Lo que hace que esta campaña sea particularmente peligrosa para los equipos de seguridad empresarial es la velocidad de ejecución, toda la cadena de infección se completa en aproximadamente 25 segundos, desde la ejecución inicial de VBS hasta la exfiltración de credenciales, y la segmentación selectiva de las máquinas unidas a un dominio, lo que garantiza que cada host comprometido proporcione el máximo valor mediante el robo de credenciales corporativas y el secuestro persistente de recursos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.