Una nueva campaña de distribución de malware utiliza errores falsos de Google
Chrome, Word y OneDrive para engañar a los usuarios para que ejecuten
«correcciones» maliciosas de PowerShell que instalan malware.
Se observó que la nueva campaña era utilizada por múltiples actores de
amenazas, incluidos aquellos detrás de ClearFake, un nuevo grupo de ataques
llamado ClickFix, y el actor de amenazas TA571, conocido por operar como
distribuidor de spam que envía grandes volúmenes de correo electrónico, lo que
genera infecciones de malware y ransomware. .
Los ataques ClearFake anteriores utilizan superposiciones de sitios web que
solicitan a los visitantes que instalen una actualización falsa del navegador
que instala malware.
Los actores de amenazas también utilizan JavaScript en archivos adjuntos HTML
y sitios web comprometidos en los nuevos ataques. Sin embargo, ahora las
superposiciones muestran errores falsos de Google Chrome, Microsoft Word y
OneDrive.
Estos errores solicitan al visitante que haga clic en un botón para copiar una
«corrección» de PowerShell en el portapapeles y luego pegarla y ejecutarla en
un cuadro de diálogo Ejecutar.
«Aunque la cadena de ataque requiere una interacción significativa del
usuario para tener éxito, la ingeniería social es lo suficientemente
inteligente como para presentarle a alguien lo que parece un problema real y
una solución simultáneamente, lo que puede incitar al usuario a tomar
medidas sin considerar el riesgo»,
advierte un nuevo informe de ProofPoint.
Las cargas útiles incluyen DarkGate, Matanbuchus, NetSupport, Amadey Loader,
XMRig, un secuestrador de portapapeles y Lumma Stealer.
La «reparación» de PowerShell conduce a malware
Los analistas de Proofpoint observaron tres cadenas de ataques que se
diferencian principalmente en sus etapas iniciales, y solo la primera no se
atribuyó con alta confianza a TA571.
En este primer caso, asociado con los actores de amenazas detrás de
ClearFake, los usuarios visitan un sitio web comprometido que carga un
script malicioso alojado en la cadena de bloques
a través de los contratos Smart Chain de Binance, una técnica conocida como
«EtherHiding».
Este script realiza algunas comprobaciones y muestra una advertencia
falsa de Google Chrome que indica un problema al mostrar la página web. Luego,
el cuadro de diálogo solicita al visitante que instale un «certificado raíz»
copiando un script de PowerShell en el Portapapeles de Windows y ejecutándolo
en una consola de Windows PowerShell (como Administrador).
Cuando se ejecuta el script de PowerShell, realizará varios pasos para
confirmar que el dispositivo es un objetivo válido y luego descargará cargas
útiles adicionales, como se describe a continuación.
- Vacía la caché de DNS.
- Elimina el contenido del portapapeles.
- Muestra un mensaje señuelo.
-
Descarga otro script remoto de PowerShell, que realiza comprobaciones
anti-VM antes de descargar un ladrón de información.
La segunda cadena de ataque está asociada con la campaña ‘ClickFix’ y utiliza
una inyección en sitios web comprometidos que crea un iframe para
superponer otro error falso de Google Chrome. Se indica a los usuarios que
abran «Windows PowerShell (Admin)» y peguen el código proporcionado, lo
que provoca las mismas infecciones mencionadas anteriormente.
Finalmente, una cadena de infección basada en correo electrónico que utiliza
archivos adjuntos HTML que se asemejan a documentos de Microsoft Word solicita
a los usuarios que instalen la extensión «Word Online» para ver el documento
correctamente.
El mensaje de error ofrece las opciones «Cómo solucionarlo» y «Reparación
automática», y «Cómo solucionarlo» copia un comando de PowerShell codificado
en Base64 al portapapeles e indica al usuario que lo pegue en PowerShell.
«Auto-fix» utiliza el protocolo search-ms para mostrar un
archivo «fix.msi» o «fix.vbs» alojado en WebDAV en un recurso
compartido de archivos controlado por un atacante remoto.
En este caso, los comandos de PowerShell descargan y ejecutan un archivo MSI o
un script VBS, lo que provoca infecciones por Matanbuchus o DarkGate,
respectivamente.
En todos los casos, los actores de amenazas explotan la falta de conciencia de
sus objetivos sobre los riesgos de ejecutar comandos de PowerShell en sus
sistemas.
También aprovechan la incapacidad de Windows para detectar y bloquear las
acciones maliciosas iniciadas por el código pegado.
Las diferentes cadenas de ataque muestran que TA571 está experimentando
activamente con múltiples métodos para mejorar la efectividad y encontrar más
vías de infección para comprometer una mayor cantidad de sistemas.
Fuente:
BC
Los comentarios están cerrados.