Una campaña de phishing en curso se dirige a entornos corporativos de habla francesa utilizando currículums falsos que conducen a la introducción de mineros de criptomonedas y ladrones de información.
«La campaña utiliza archivos VBScript altamente ofuscados disfrazados de currículums/documentos CV, entregados a través de correos electrónicos de phishing», dijeron los investigadores de Securonix Shikha Sangwan, Akshay Gaikwad y Aaron Beardslee en un informe compartido con The Hacker News.
«Una vez ejecutado, el malware implementa un conjunto de herramientas versátil que combina el robo de credenciales, la exfiltración de datos y la extracción de la criptomoneda Monero para una máxima monetización».
Esta actividad ha sido denominada en clave «FAUX#ELEVATE» por la firma de ciberseguridad. Esta campaña se destaca por su explotación de servicios e infraestructura legítimos, incluido Dropbox para organizar cargas útiles, un sitio marroquí de WordPress para alojar configuraciones de comando y control (C2) y una infraestructura SMTP de correo (.)ru para filtrar credenciales de navegador y archivos de escritorio robados.
Este es un ejemplo de un ataque persistente que eleva el nivel sobre cómo los atacantes pueden engañar a los mecanismos de defensa y colarse en los sistemas específicos sin llamar demasiado la atención.
El primer archivo dropper es un Visual Basic Script (VBScript) que, cuando se abre, muestra un mensaje de error falso en francés, lo que hace que el destinatario del mensaje piense que el archivo está dañado. Sin embargo, lo que sucede detrás de escena es que el script altamente ofuscado ejecuta una serie de comprobaciones para evadir la zona de pruebas, ingresa a un bucle persistente de Control de cuentas de usuario (UAC) y solicita al usuario que ejecute el script con privilegios de administrador.
En particular, de las 224.471 líneas del script, sólo 266 líneas contienen código ejecutable real. El resto del guión está lleno de comentarios basura que contienen frases aleatorias en inglés, lo que aumenta el tamaño del archivo a 9,7 MB.
«El malware también utiliza una puerta de unión de dominio utilizando WMI (Instrumental de administración de Windows) para garantizar que la carga útil solo se entregue a máquinas empresariales y que los sistemas domésticos independientes queden completamente excluidos», dijeron los investigadores.
Una vez que el dropper obtiene privilegios administrativos, cubre inmediatamente sus huellas al deshabilitar los controles de seguridad, configurar las rutas de exclusión de Microsoft Defender para todas las letras de las unidades principales (C a I), deshabilitar UAC a través de cambios en el registro de Windows y eliminarse a sí mismo.
El cuentagotas también es responsable de recuperar dos archivos 7-Zip separados protegidos con contraseña alojados en Dropbox.
gmail2.7z (contiene varios ejecutables para robar datos y extraer criptomonedas) gmail_ma.7z (contiene utilidades para persistencia y limpieza)
Entre las herramientas utilizadas para facilitar el robo de credenciales se encuentra un componente que aprovecha el proyecto ChromElevator para evitar la protección de cifrado vinculado a aplicaciones (ABE) y extraer datos confidenciales de los navegadores basados en Chromium. Otras herramientas incluyen:
mozilla.vbs, malware VBScript para robar perfiles y credenciales de Mozilla Firefox Wall.vbs, carga útil de VBScript para extracción de archivos de escritorio mservice.exe, minero de criptomonedas XMRig lanzado después de adquirir la configuración de minería del sitio comprometido de WordPress marroquí WinRing0x64.sys, controlador original del kernel de Windows utilizado para desbloquear la CPU Potencial de minería total RuntimeHost.exe, componente troyano persistente de Windows que modifica las reglas del firewall y se comunica periódicamente con los servidores C2
Los únicos datos del navegador se extraen utilizando dos cuentas de remitente de correo(.)ru separadas (‘olga.aitsaid@mail.ru’ y ‘3pw5nd9neeyn@mail.ru’) que comparten la misma contraseña a través de SMTP y envían a direcciones de correo electrónico separadas (‘vladimirprolitovitch@duck.com’) operadas por el actor de amenazas.
Una vez que se completa la actividad de robo y exfiltración de credenciales, la cadena de ataque comienza una limpieza agresiva de todas las herramientas caídas para minimizar su huella forense, dejando atrás solo mineros y troyanos.
«La campaña FAUX#ELEVATE demuestra una campaña de ataque de múltiples etapas bien orquestada que combina varias técnicas notables en una sola cadena de infección», dijo Securonix.
«Lo que hace que esta campaña sea particularmente peligrosa para los equipos de seguridad empresarial es su velocidad de ejecución, con la cadena de infección completa desde la ejecución inicial de VBS hasta la exfiltración de credenciales completada en aproximadamente 25 segundos, y el objetivo selectivo de las máquinas unidas al dominio para garantizar que todos los hosts comprometidos proporcionen el mayor valor a través del robo de credenciales empresariales y el secuestro persistente de recursos».
Source link
