Bl0ckch41nnewsPhishing utiliza ofuscación para distribuir malware en varias etapas
Investigadores de ciberseguridad han descubierto un intrincado ataque de
varias etapas que aprovecha señuelos de phishing con temas de facturas para
entregar una amplia gama de malware como
Venom RAT,
Remcos RAT,
XWorm,
NanoCore RAT
y un stealer dirigido a carteras criptográficas.
Los mensajes de correo electrónico vienen con archivos adjuntos de gráficos
vectoriales escalables (SVG) que, al hacer clic, activan la secuencia de
infección,
dijo Fortinet FortiGuard Labs
en un informe técnico.
El modus operandi se destaca por el uso del motor de ofuscación de malware
BatCloak y ScrubCrypt para entregar el malware en forma de archivos BAT
ofuscados.
BatCloak, puesto a la venta a otros actores de amenazas desde finales de 2022, tiene
su base en otra herramienta llamada Jlaive. Su característica principal es
cargar un payload de la siguiente etapa de una manera que eluda los
mecanismos de detección tradicionales.
ScrubCrypt, un cifrador que Fortinet documentó por primera vez en marzo de 2023 en
relación con una campaña de criptojacking orquestada por 8220 Gang, se
considera una de las iteraciones de BatCloak, según una investigación de Trend
Micro del año pasado.
En la última campaña analizada por la empresa de ciberseguridad, el archivo
SVG sirve como conducto para colocar un archivo ZIP que contiene un script BAT
probablemente creado con BatCloak, que luego descomprime otro archivo BAT de
ScrubCrypt para finalmente ejecutar Venom RAT, pero no antes intentar lograr
persistencia en el host y tomar medidas para eludir las protecciones
AMSI
y las
protección ETW.
Venom RAT, una bifurcación de Quasar RAT, permite a los atacantes tomar el
control de los sistemas comprometidos, recopilar información confidencial y
ejecutar comandos recibidos de un servidor de comando y control (C2).
«Si bien el programa principal de Venom RAT puede parecer sencillo,
mantiene canales de comunicación con el servidor C2 para adquirir
complementos adicionales para diversas actividades. Esto incluye Venom RAT
v6.0.3 con capacidades de registrador de teclas, NanoCore RAT, XWorm y
Remcos RAT. Este complemento [Remcos RAT] se distribuyó desde el C2 de
VenomRAT utilizando tres métodos: un script VBS ofuscado llamado
‘remcos.vbs’, ScrubCrypt y
Guloader PowerShell«
dijeron los investigadores.
También se entrega utilizando el sistema de complemento un stealer que
recopila información sobre el sistema y extrae datos de carpetas asociadas con
billeteras y aplicaciones como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx
Liberty (retirado a partir de marzo de 2023), Zcash, Foxmail y Telegram a un servidor remoto.
«Los atacantes emplean una variedad de métodos, incluidos correos
electrónicos de phishing con archivos adjuntos maliciosos, archivos de
script ofuscados y Guloader PowerShell, para infiltrarse y comprometer los
sistemas de las víctimas. Además, implementar complementos a través de
diferentes cargas útiles resalta la versatilidad y adaptabilidad de la
campaña de ataque».
Fuente:
THN
Los comentarios están cerrados.