Los investigadores de ciberseguridad han revelado detalles de una campaña de malware de varias etapas que utiliza scripts por lotes como vía para entregar varias cargas útiles de troyanos de acceso remoto (RAT) cifradas que corresponden a Gusano X , asíncrata , y Xeno RAT .

La cadena de ataque sigilosa tiene un nombre en clave VACÍO #GEIST de Securonix Threat Research.

En un nivel alto, el script por lotes ofuscado se usa para implementar un segundo script por lotes, organizar un tiempo de ejecución de Python incrustado legítimo y descifrar los blobs de código de shell cifrados, que se ejecutan directamente en la memoria inyectándolos en instancias independientes de "explorer.exe" mediante una técnica denominada Inyección temprana de llamada a procedimiento asincrónico (APC) .

«Las campañas modernas de malware pasan cada vez más de ejecutables independientes a marcos de entrega complejos basados en scripts que imitan de cerca la actividad legítima de los usuarios», afirman los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee dijo en un informe técnico compartido con The Hacker News.

adsense

«En lugar de implementar los binarios tradicionales de PE, los atacantes aprovechan las canalizaciones modulares que incluyen scripts por lotes para la orquestación, PowerShell para la puesta en escena sigilosa, tiempos de ejecución integrados legítimos para la portabilidad y código de shell sin procesar que se ejecuta directamente en la memoria para garantizar la persistencia y el control».

Este mecanismo de ejecución sin archivos minimiza las oportunidades de detección basadas en discos, lo que permite a los actores de amenazas operar en sistemas comprometidos sin activar alertas de seguridad. Además, el enfoque ofrece una ventaja adicional, ya que estas etapas individuales parecen inofensivas por sí solas y se asemejan a una actividad administrativa normal.

El punto de partida del ataque es un script por lotes que se obtiene de un dominio de TryCloudflare y se distribuye a través de correos electrónicos de suplantación de identidad. Una vez lanzado, evita deliberadamente tomar medidas para aumentar los privilegios y aprovecha los derechos de permiso del usuario que ya ha iniciado sesión para establecer un punto de apoyo inicial, al tiempo que se incorpora a operaciones administrativas aparentemente inocuas.

La etapa inicial sirve como plataforma de lanzamiento para mostrar un PDF señuelo al iniciar Google Chrome en pantalla completa. El documento financiero o la factura que se muestra sirven como distracción visual para ocultar lo que sucede entre bastidores. Esto incluye lanzar un comando de PowerShell para volver a ejecutar el script por lotes original, por ejemplo, utilizando el parámetro -WindowStyle Hidden, para evitar que se muestre una ventana de consola.

Para garantizar la persistencia durante los reinicios del sistema, se coloca un script por lotes auxiliar en el directorio de inicio del usuario de Windows para que se ejecute automáticamente cada vez que la víctima inicie sesión en el sistema. La ausencia de métodos de persistencia más intrusivos es intencional, ya que reduce el impacto forense.

«Técnicamente, este método de persistencia funciona completamente dentro del contexto de privilegios del usuario actual. No modifica las claves de registro de todo el sistema, no crea tareas programadas ni instala servicios», dijeron los investigadores. «En cambio, se basa en un comportamiento estándar de inicio a nivel de usuario, que no requiere ninguna elevación y genera una fricción de seguridad mínima. Esta elección de diseño reduce la probabilidad de que se activen solicitudes de escalamiento de privilegios o alertas de supervisión del registro».

La siguiente fase comienza cuando el malware llega a un dominio de TryCloudflare para obtener cargas útiles adicionales en forma de archivos ZIP que contienen varios archivos -

  • runn.py , un script de carga basado en Python responsable de descifrar e inyectar en la memoria módulos de carga útil de códigos de shell cifrados
  • new.bin , una carga útil de código de shell cifrada correspondiente a XWorm
  • xn.bin , una carga útil de código de shell cifrada correspondiente a Xeno RAT
  • pul.bin , una carga útil de código de shell cifrada correspondiente a AsyncRat
  • a.json, n.json, y p.json , archivos de claves que contienen las claves de descifrado que necesita el cargador de Python para descifrar dinámicamente el shellcode en tiempo de ejecución

Una vez que se extraen los archivos, la secuencia de ataque implementa un tiempo de ejecución de Python incrustado legítimo directamente desde python [.] org. Este paso ofrece varias ventajas. Para empezar, elimina cualquier dependencia del sistema. Como resultado, el malware puede seguir funcionando incluso si el terminal infectado tiene Python instalado.

enlaces

«Desde la perspectiva del atacante, los objetivos de esta etapa son la portabilidad, la confiabilidad y el sigilo», dijo Securonix. «Al integrar un intérprete legítimo en el directorio provisional, el malware se transforma en un entorno de ejecución totalmente autónomo capaz de descifrar e inyectar módulos de carga útil sin depender de componentes externos del sistema».

El objetivo principal del ataque es aprovechar el tiempo de ejecución de Python para lanzar "runn.py», que luego descifra y ejecuta la carga útil de XWorm mediante la inyección APC de Early Bird. El malware también utiliza un archivo binario legítimo de Microsoft, "AppInstallerPythonRedirector.exe», para invocar Python e iniciar Xeno RAT. En la última etapa, el cargador de Python usa el mismo mecanismo de inyección para lanzar AsyncRAT.

La cadena de infección culmina cuando el malware transmite una baliza HTTP mínima a la infraestructura C2 controlada por el atacante alojada en TryCloudflare para confirmar el robo digital. Por el momento no se sabe quiénes eran los objetivos del ataque ni si se ha logrado algún compromiso exitoso.

«Este patrón de inyección repetido refuerza la arquitectura modular del marco. En lugar de entregar una única carga útil monolítica, el atacante implementa los componentes de forma incremental, lo que mejora la flexibilidad y la resiliencia», afirma Securonix. «Desde el punto de vista de la detección, la inyección repetida de procesos en explorer.exe en breves intervalos de tiempo es un indicador de comportamiento sólido que se correlaciona entre las distintas etapas del ataque».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.