
Los investigadores de ciberseguridad han señalado una nueva cadena de ataques de entrega de malware en varias etapas que utiliza ingeniería social y páginas de Blogger para entregar una herramienta de robo de información llamada PureLogs.
En Securonix, esta actividad tiene el nombre en código VEIL#DROP. Se sospecha que la carga útil inicial se distribuyó mediante phishing o ataque oculto. Una infracción de seguridad ocurre cuando un usuario desprevenido visita un sitio web (legítimo o no) que está bajo el control de un atacante.
«La cadena de infección comienza con un archivo JavaScript con un nombre falso disfrazado de documento (por ejemplo, transcript.pdf.js), que se ejecuta a través de Windows Script Host e inicia PowerShell con la omisión de la política de ejecución habilitada», escribieron los investigadores Akshay Gaikwad, Shikha Sangwan, Aaron Beardslee y sus colegas en un informe compartido con The Hacker News.
En un nivel alto, el script de PowerShell es responsable de recuperar la carga útil de la siguiente etapa (‘htlwub00klocate.blogspot(.)com’) alojada en Blogger. Esto permite a los atacantes eludir las defensas basadas en la reputación y mezclarse con la actividad web legítima explotando la infraestructura confiable de Google como escenario.
Si bien la carga útil de PowerShell descargada actúa como un conducto para cargar una página web benigna como la de Google, dando la impresión de que se está abriendo un documento PDF, la secuencia de infección avanza silenciosamente en segundo plano, lo que finalmente conduce a la implementación de PureLogs Stealer, un ladrón de información basado en .NET conocido por recopilar diversos datos confidenciales de hosts comprometidos.
El cargador de PowerShell también garantiza la ejecución sin restricciones de comandos de PowerShell posteriores, finaliza procesos seleccionados como ‘wscript.exe’ para minimizar los rastros forenses, elimina ‘transcript.pdf.js’ para eliminar evidencia de ejecución e intenta descifrar cargas útiles incrustadas.
«Una vez que el descifrado XOR tiene éxito, el cargador pasa a uno de los componentes más evasivos del marco VEIL#DROP: generación dinámica de etapas combinada con mutaciones en tiempo de ejecución», explicó Securonix. «En lugar de utilizar indicadores estáticos como URL codificadas o patrones de ejecución predecibles, el malware construye dinámicamente la ubicación de su carga útil de la siguiente etapa durante la ejecución».
Esto implica construir una URL de blogspot(.)com única para cada ejecución insertando un número aleatorio de barras (“https://thehackernews.com/”) en la cadena de URL para evitar firmas de URL estáticas, bloqueos basados en indicadores y mecanismos de filtrado basados en URL.
Además, los scripts decodificados introducen mutaciones y polimorfismo en tiempo de ejecución al reemplazar los valores de marcador de posición en el script con cadenas y valores generados aleatoriamente durante la ejecución. Esta variabilidad está diseñada para invalidar la firma de scripts y el hash de archivos, impidiendo así una detección confiable.
Los scripts reconstruidos terminan ejecutándose completamente en la memoria, sin dejar artefactos en el disco. Este componente actúa como un cargador responsable de decodificar y ejecutar los componentes principales del malware. El componente principal del malware no es más que un ensamblaje .NET que se inicia mediante una técnica conocida como carga de código reflectante.
Si los controles de seguridad u otras restricciones ambientales le impiden ejecutar el ensamblado .NET recuperado directamente desde la memoria, el cargador incluye métodos de ejecución alternativos que dependen de archivos binarios firmados por Microsoft (como «regsvcs.exe», «installutil.exe», «msbuild.exe» y «aspnet_compiler.exe») para lograr el mismo objetivo sin llamar la atención.
Debido a que Microsoft confía en estos binarios, los firma y ya están presentes en el sistema, el enfoque Living-off-the-land (LotL) permite a los atacantes disfrazar su actividad como legítima y pasar desapercibida.
«Uno de los aspectos más notables del cargador es que no depende de un solo LOLBin», señalaron los investigadores. «En cambio, la ejecución sigue un modelo en cascada y se intenta hasta que uno de los métodos tiene éxito».
El impacto de una infección de ladrón normalmente se extiende más allá del punto final inicialmente comprometido. Esto se debe a que los datos recopilados pueden servir como un trampolín para profundizar en el entorno de destino, establecer persistencia, realizar movimientos laterales y penetrar la infraestructura de la nube.
«La combinación de sitios web comprometidos, enmascaramiento de múltiples extensiones, servicios de nube confiables, cargas útiles ofuscadas por XOR, carga reflectante de .NET, ejecución sin archivos y explotación LOLBIN demuestran un esfuerzo deliberado para evadir las soluciones antivirus tradicionales, reducir los artefactos forenses y mantener el sigilo operativo durante todo el ciclo de vida de la infección», dijo Securonix.
Source link
