Investigadores de ciberseguridad han revelado detalles de una nueva campaña ClickFix que explota sitios legítimos comprometidos para entregar un troyano de acceso remoto (RAT) previamente indocumentado llamado MIMICRAT (también conocido como AstarionRAT).
«Esta campaña demuestra un alto nivel de sofisticación operativa, con sitios comprometidos en múltiples industrias y geografías que sirven como infraestructura de entrega, una cadena PowerShell de múltiples etapas que realiza una derivación ETW y AMSI antes de soltar un cargador de shellcode con script Lua, y el implante final que se comunica a través de HTTPS en el puerto 443 usando un perfil HTTP similar al tráfico legítimo de análisis web», dijo Elastic Security Labs en un informe del viernes.
Según la empresa de ciberseguridad y búsqueda empresarial, MIMICRAT es una RAT C++ personalizada que admite la suplantación de tokens de Windows, la tunelización SOCKS5 y un conjunto de 22 comandos para una funcionalidad integral posterior a la explotación. La campaña fue descubierta a principios de este mes.
También existe una superposición táctica y de infraestructura con otra campaña de ClickFix documentada por Huntress, lo que llevó al despliegue del cargador Matanbuchus 3.0, que se considera que sirve como conducto para el mismo RAT. Se cree que el objetivo final del ataque es la implementación de ransomware o la fuga de datos.
En la secuencia de infección resaltada por Elastic, el punto de entrada es bincheck(.)io. Este es un servicio legítimo de verificación del Número de identificación bancaria (BIN) que fue comprometido para inyectar código JavaScript malicioso responsable de cargar un script PHP alojado externamente. Luego, el script PHP ofrece un señuelo ClickFix al mostrar una página de verificación de Cloudflare falsa e indicar a la víctima que copie y pegue un comando en un cuadro de diálogo Ejecutar de Windows para solucionar el problema.
Esto ejecuta un comando de PowerShell que se conecta al servidor de comando y control (C2) para recuperar un script de PowerShell de segunda etapa que parchea el registro de eventos de Windows (ETW) y el análisis antivirus (AMSI) antes de descartar el cargador basado en Lua. En la etapa final, se descifra el script Lua y se ejecuta en la memoria el código shell que sirve a MIMICRAT.
El troyano utiliza HTTPS para comunicarse con el servidor C2 y puede aceptar 24 comandos para el control de procesos y sistemas de archivos, acceso interactivo al shell, manipulación de tokens, inyección de shellcode y tunelización de proxy SOCKS.
«La campaña admite 17 idiomas y el contenido del señuelo se localiza dinámicamente según la configuración de idioma del navegador de la víctima, lo que aumenta su alcance efectivo», dijo el investigador de seguridad Salim Bittam. «Las víctimas identificadas abarcan múltiples geografías, incluida una universidad con sede en EE. UU. y múltiples usuarios de habla china documentados en debates en foros públicos, lo que sugiere un objetivo oportunista generalizado».
Source link
