lunes, 17 de octubre de 2022

MÉTODOS POCO COMUNES DE INFECCIÓN Y PROPAGACIÓN DE MALWARE



INTRODUCCIÓN

    A menudo nos preguntan cómo se infectan los objetivos con malware. Nuestra respuesta es casi siempre la misma: (spear) phishing. Habrá excepciones, naturalmente ya que encontraremos vulnerabilidades RCE de vez en cuando, o si el atacante ya está en la red, utilizará herramientas como PsExec. Pero eso es todo, al mayor parte del tiempo, de todos modos.

   El mes pasado, nos enfocamos en los métodos de infección usados en varias campañas de malware: métodos que no vemos que se usen con mucha frecuencia. En esta publicación de blog, proporcionamos extractos de estos informes.

BLACKBASTA: UN NUEVO MÉTODO DE PROPAGACIÓN

    BlackBasta, el notorio ransomware sobre el que hemos escrito antes, recibió una actualización recientemente. Ahora tiene un segundo parámetro de línea de comando opcional: "bomba".

     Cuando se usa ese parámetro, el malware hace lo siguiente:

  1. Conectarse al AD usando la biblioteca LDAP y obtener una lista de máquinas en la red.
  2. Utilizando la lista de máquinas, se copia a sí mismo en cada máquina,
  3. Utilizando el Modelo de objetos componentes (COM), se ejecuta de forma remota en cada máquina.

Fragmento de código que muestra la funcionalidad LDAP

     El beneficio de usar un método de propagación incorporado es que deja menos rastros en el sistema y es más sigiloso que usar herramientas públicas. Por ejemplo, una de las herramientas favoritas de los atacantes, PsExec, se detecta fácilmente en la red. El nuevo método deja a los defensores de la red con menos posibilidades de detectar la actividad maliciosa.

CLOADER: INFECCIÓN A TRAVÉS DE TORRENTS MALICIOSOS

    Los ciberdelincuentes rara vez usan torrents maliciosos para infectar a sus objetivos. Sin embargo, es un método de infección que no debe descartarse, tal y como demuestra CLoader.

     CLoader se descubrió en abril de 2022. Utilizaba juegos y software descifrados como cebo para engañar a los usuarios para que instalaran malware. Los archivos descargados eran instaladores de NSIS, que contenían código malicioso en el script de instalación.


El script malicioso: las partes en rojo indican el código de descarga del malware

     En total, observamos seis payloads diferentes que se descargaron:

  • Proxy malicioso Microleaves: funciona como un proxy en la máquina infectada.
  • Proxy malicioso de Paybiz: funciona como un proxy en la máquina infectada.
  • Descargador de MediaCapital: puede instalar más malware en el sistema.
  • Descargador CSDI: puede instalar más malware en el sistema.
  • Descargador Hostwin64: puede instalar más malware en el sistema.
  • Inlog backdoor: instala la aplicación legítima de NetSupport para el acceso remoto a la máquina.

Cuando observamos la victimología, vemos que los usuarios de todo el mundo están infectados, pero principalmente en los EE. UU., Brasil e India.

OnionPoison:

INFECCIONES A TRAVÉS DE UN NAVEGADOR TOR FALSO

      En agosto de 2022, descubrimos una campaña que se había estado ejecutando al menos desde enero, enfocándose en los usuarios de habla china. Un popular canal de YouTube en chino sobre el anonimato en línea publicó un video con instrucciones para instalar el navegador Tor. Eso no es extraño en sí mismo, ya que el navegador Tor está bloqueado en China. Sin embargo, si el usuario hace clic en el enlace de la descripción, se descarga una versión infectada del navegador Tor.

     La versión infectada es casi idéntica a la original, por lo que el usuario no nota ninguna diferencia. La diferencia con la versión benigna es: 

  • El instalador carece de firma digital.
  • Una de las DLL que viene con la versión original (freebl3.dll) es completamente diferente ya que contiene código de puerta trasera.
  • Se incluye un nuevo archivo (freebl.dll), que es el mismo que el freebl3.dll original.
  • El binario de Firefox que viene incluido con TOR difiere en un byte del otiginal, es decir, un carácter en la URL utilizada para las actualizaciones. De esta forma, los atacantes evitan que el navegador se actualice.
  • El archivo de configuración del navegador se cambia para proporcionar menos anonimato. Por ejemplo, el historial de navegación ahora se almacena en el disco.

     La funcionalidad del Freebl3.dll backdoored es bastante simple. Transmite toda la funcionalidad a la DLL original y también descarga una DLL adicional del C2.

    La DLL descargada contiene la mayor parte de la funcionalidad maliciosa. Entre otras cosas, es capaz de:

  • Ejecutar comandos en el sistema.
  • Enviar el historial de navegación de TOR al C2.
  • Enviando las identificaciones de cuenta de WeChat y QQ de la víctima al C2.


AdvancedIPSpyware:

HERRAMIENTA BENIGNA FIRMADA Y CON PUERTA TRASERA

     Agregar código malicioso al software benigno para ocultar actividades ilegales y engañar al usuario es una técnica que encontramos con más frecuencia. Lo que no vemos a menudo es que se firme el binario de puerta trasera. Este es precisamente el caso de AdvancedIPSpyware, que es una versión de puerta trasera de la herramienta legítima Advanced IP Scanner utilizada por los administradores de red para controlar las LAN. Lo más probable es que el certificado utilizado para firmar el malware sea robado. El malware estaba alojado en dos sitios, cuyos dominios eran casi idénticos al sitio web legítimo de Advanced IP Scanner, y solo diferían en un carácter en la URL. Además, los sitios web tienen el mismo aspecto. La única diferencia es el botón de "descarga gratuita" en los sitios web maliciosos.

El binario firmado legítimo vs malicioso

     Otra característica poco común de AdvancedIPSpyware es su arquitectura modular. Por lo general, una arquitectura modular se ve con el patrocinio del estado de la nación, no con el malware criminal. Observamos los siguientes tres módulos que se comunican entre sí a través de IPC:

  • módulo principal: se actualiza o se elimina a sí mismo, o genera otra instancia.
  • módulo de ejecución de comandos: funcionalidad típica de spyware, como recopilación de información, ejecución de comandos, etc.
  • módulo de comunicación de red: maneja toda la funcionalidad relacionada con la red (mensajes de latido, etc.).
     La campaña AdvancedIPSpyware tiene una amplia victimología. Hemos detectado varias víctimas en América Latina, África, Europa Occidental, el Sur de Asia, Austria y la CEI. El recuento total de las víctimas infectadas en el transcurso de la campaña es de aproximadamente 80.

CONCLUSIÓN

     Aunque los actores mal intencionados se basan en el correo como principal vector de infección, no se deben descartar otros métodos. La usurpación de dominios y el software descifrado descargable a través de torrents son solo dos de los trucos alternativos que usan los delinecuentes para atraer a las víctimas para que instalen el malware en su sistema.

     Los desarrolladores de ransomware siguen actualizando su malware. Esta vez, BlackBasta agregó una funcionalidad que dificulta el análisis forense y la detección, ya que el malware ahora puede propagarse a través de la propia red.


FUENTE: SECURELIST.COM

-

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...