Investigadores de ciberseguridad han descubierto cómo se utilizan películas
piratas como anzuelo para descargar un malware del tipo info stealers.
«Este dropper se descrifra en memoria y ejecuta un download basado en
PowerShell»,
dijo Mandiant, propiedad de Google.
«Este descargador basado en PowerShell está siendo rastreado como
PEAKLIGHT».
Algunas de las cepas de malware distribuidas mediante esta técnica son
Lumma Stealer,
Hijack Loader, (también conocido como DOILoader, IDAT Loader o SHADOWLADDER) y
CryptBot, todos los cuales se anuncian bajo el modelo de malware como servicio
(SaaS).
El punto de partida de la cadena de ataque es un archivo de acceso directo
de Windows (LNK) que se descarga mediante técnicas de descarga no
autorizada, por ejemplo, cuando los usuarios buscan una película en los
motores de búsqueda. Vale la pena señalar que los archivos LNK se
distribuyen en archivos ZIP disfrazados de películas pirateadas.
El archivo LNK se conecta a una red de entrega de contenido (CDN) que aloja un
dropper de JavaScript de solo memoria ofuscado. Posteriormente, el
dropper ejecuta el script de descarga PEAKLIGHT PowerShell en el
host, que luego se comunica con un servidor de comando y control (C2) para
recuperar cargas útiles adicionales.
Mandiant dijo que identificó diferentes variaciones de los archivos LNK,
algunos de los cuales aprovechan los asteriscos (*) como comodines para
iniciar el binario mshta.exe legítimo para ejecutar discretamente código
malicioso (es decir, el cuentagotas) recuperado de un servidor remoto.
De manera similar, se ha descubierto que los droppers incorporan cargas
útiles de PowerShell con codificación hexadecimal y base64 que finalmente se
descomprimen para ejecutar PEAKLIGHT, que está diseñado para entregar malware
de siguiente etapa en un sistema comprometido mientras se descarga
simultáneamente un avance de película legítimo, probablemente como una
artimaña.
«PEAKLIGHT es un download ofuscado basado en PowerShell que forma parte de
una cadena de ejecución de múltiples etapas que verifica la presencia de
archivos ZIP en rutas de archivos codificadas», dijeron los investigadores de Mandiant, Aaron Lee y Praveeth D’Souza.
«Si los archivos no existen, el programa de descarga se comunicará con un
sitio CDN y descargará el archivo alojado remotamente y lo guardará en el
disco».
La divulgación se produce cuando
Malwarebytes detalló
otra
campaña de publicidad maliciosa
que emplea anuncios fraudulentos de la Búsqueda de Google para Slack, una
plataforma de comunicaciones empresariales, para dirigir a los usuarios a
sitios web falsos que albergan instaladores maliciosos que culminan con la
implementación de un troyano de acceso remoto llamado SectopRAT.
Fuente:
THN
Los comentarios están cerrados.