Los investigadores de ciberseguridad han revelado detalles de una nueva campaña cibernética rusa dirigida a entidades ucranianas con dos familias de malware previamente indocumentadas denominadas Bad Paw y Miau Miau .

«La cadena de ataque se inicia con un correo electrónico de suplantación de identidad que contiene un enlace a un archivo ZIP. Una vez extraído, un archivo HTA inicial contiene un documento engañoso escrito en ucraniano sobre las solicitudes de cruce fronterizo para engañar a la víctima», dijo ClearSky dijo en un informe publicado esta semana.

Paralelamente, la cadena de ataque lleva al despliegue de un cargador basado en .NET llamado BadPaw, que luego establece la comunicación con un servidor remoto para buscar e implementar una sofisticada puerta trasera llamada MeowMeow.

adsense

La campaña se ha atribuido con una confianza moderada al actor de amenazas patrocinado por el estado ruso conocido como APT 28 , basada en la huella de los objetivos, la naturaleza geopolítica de los señuelos utilizados y la superposición con las técnicas observadas en las ciberoperaciones rusas anteriores.

El punto de partida de la secuencia de ataque es un correo electrónico de suplantación de identidad enviado desde ukr [.] net, probablemente en un intento de establecer la credibilidad y garantizar la confianza de las víctimas objetivo. En el mensaje hay un enlace a un supuesto archivo ZIP, lo que hace que el usuario sea redirigido a una URL en la que se carga una «imagen excepcionalmente pequeña», que actúa como un píxel de seguimiento para indicar a los operadores que se ha hecho clic en el enlace.

Una vez completado este paso, se redirige a la víctima a una URL secundaria desde donde se descarga el archivo. El archivo ZIP incluye una aplicación HTML (HTA) que, una vez lanzada, deja caer un documento señuelo como mecanismo de distracción, mientras ejecuta las siguientes etapas en segundo plano.

«El documento señuelo retirado sirve como táctica de ingeniería social, ya que presenta una confirmación de recepción de una apelación del gobierno en relación con un cruce fronterizo con Ucrania», dijo ClearSky. «La intención de este señuelo es mantener la apariencia de legitimidad».

El archivo HTA también realiza comprobaciones para evitar que se ejecute en entornos de sandbox. Para ello, consulta la clave del registro de Windows «KLM\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ InstallDate» para estimar la «antigüedad» del sistema operativo. El malware está diseñado para abortar la ejecución si el sistema se instaló menos de diez días antes.

Si el sistema cumple los criterios del entorno, el malware localiza el archivo ZIP descargado y extrae dos archivos de él (un script de Visual Basic (VBScript) y una imagen PNG, y los guarda en el disco con nombres diferentes. También crea una tarea programada para ejecutar el VBScript a fin de garantizar la persistencia en el sistema infectado.

La responsabilidad principal de VBScript es extraer el código malintencionado incrustado en la imagen PNG, un cargador ofuscado denominado BadPaw que puede contactar con un servidor de comando y control (C2) para descargar componentes adicionales, incluido un ejecutable llamado MeowMeow.

«De acuerdo con la tradición de 'BadPaw', si este archivo se ejecuta independientemente de toda la cadena de ataque, inicia una secuencia de código ficticia», explicó la empresa israelí de ciberseguridad. «Esta ejecución con señuelo muestra una interfaz gráfica de usuario (GUI) con la imagen de un gato, que se alinea con el tema visual del archivo de imagen inicial del que se extrajo el malware principal».

enlaces

«Cuando se hace clic en el botón 'MeowMeow' de la GUI del señuelo, la aplicación simplemente muestra el mensaje 'Meow Meow Meow', sin realizar más acciones maliciosas. Esto sirve como un señuelo funcional secundario para inducir a error en el análisis manual».

El código malicioso de la puerta trasera solo se activa cuando se ejecuta con un parámetro determinado («-v») proporcionado por la cadena de infección inicial y después de comprobar que se ejecuta en un punto final real y no en un entorno aislado, y que no hay herramientas forenses y de supervisión como Wireshark, Procmon, Ollydbg y Fiddler ejecutándose en segundo plano.

En esencia, MeowMeow está equipado para ejecutar de forma remota los comandos de PowerShell en el host comprometido y soportar las operaciones del sistema de archivos, como la capacidad de leer, escribir y eliminar datos. ClearSky afirmó haber identificado cadenas en idioma ruso en el código fuente, lo que refuerza la afirmación de que la actividad es obra de un actor de amenazas de habla rusa.

«La presencia de estas cadenas en ruso sugiere dos posibilidades: el actor de la amenaza cometió un error de seguridad operativa (OPSEC) al no localizar el código para el entorno objetivo ucraniano, o dejó inadvertidamente artefactos de desarrollo rusos dentro del código durante la fase de producción del malware», afirma.

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.