Se ha observado que un grupo de piratería patrocinado por el estado de Corea del Norte conocido como ScarCruft (también conocido como APT37) entrega malware llamado NarwhalRAT utilizando mensajes de phishing disfrazados de notificaciones de seguridad de cuentas de Microsoft.
Genians Security Center (GSC) dijo: «El correo electrónico del ataque contenía un mensaje disfrazado de alerta de seguridad para una cuenta de MS». «Esto está diseñado para generar preocupaciones sobre una posible vulneración de la cuenta y abuso de OTP, lo que lleva a los destinatarios a ejecutar el archivo adjunto».
«El cuerpo del correo electrónico dirigía a los destinatarios para que vieran el aviso adjunto. Sin embargo, el archivo adjunto real no era un documento HWP (procesador de textos Hangul), sino un archivo ZIP que contenía un archivo LNK malicioso».
El mensaje de correo electrónico afirma «actividad inusual» relacionada con la generación repetida de contraseñas de un solo uso, lo hace pasar como un intento de phishing por parte de un tercero contra la cuenta de Microsoft objetivo e insta al usuario a cambiar su contraseña. El objetivo final de los mensajes de phishing es crear una falsa sensación de urgencia y engañar a las víctimas para que interpreten el correo electrónico como una alerta de seguridad legítima.
Una vez que se inicia el archivo LNK, comienza una cadena de infección de varios pasos que utiliza un script por lotes intermedio que descarga e instala NarwhalRAT, que recupera un ejecutable Python legítimo de su sitio web oficial y archivos del Catálogo de seguridad de Windows (CAT). La persistencia se logra mediante tareas programadas. Esta tarea está configurada para iniciar un archivo CAT que es responsable de buscar y ejecutar la carga útil principal en la memoria sin dejar ningún artefacto en el disco.
Este malware basado en Python tiene la capacidad de registrar pulsaciones de teclas, capturar capturas de pantalla (con soporte para imágenes de alta resolución), grabar audio ambiental, cargar contenidos de directorio, recopilar detalles de ventanas activas, recopilar datos de medios USB, ejecutar instrucciones emitidas por un servidor de comando y control (C2) y cambiar de servidor C2.
El apodo NarwhalRAT es una referencia al uso que hace el malware de «%APPDATA%\naverwhale» para almacenar información recopilada en hosts comprometidos. El nombre de este directorio oculto es un intento de evadir la detección haciéndose pasar por Naver Whale, un navegador web desarrollado por la empresa de tecnología surcoreana Naver Corporation.
La implementación de NarwhalRAT por parte de APT37 es notable ya que marca una desviación de RokRAT, la familia de malware a la que pertenece este grupo de hackers.
«Desde una perspectiva de infraestructura C2, el malware utiliza sitios web coreanos como ‘daehoat(.)com’ y ‘novel21(.)co.kr’ como su principal retransmisión de comunicación, al tiempo que implementa una funcionalidad de comunicación basada en la API de almacenamiento en la nube pCloud», dijo la firma de ciberseguridad de Corea del Sur.
«En particular, se identificaron rutinas específicas de pCloud en el código que maneja los parámetros ‘folderid’ y ‘auth’, lo que indica que el malware está diseñado para utilizar servicios legítimos en la nube como un canal C2 secundario en forma de un solucionador muerto».
Genians y sus colegas dijeron que esta actividad tiene «múltiples similitudes» con ataques anteriores basados en Python orquestados por ScarCruft, incluidas campañas de phishing que utilizaban confirmaciones de entradas e invitaciones a eventos para engañar a objetivos potenciales para que abrieran archivos ZIP que contenían archivos LNK.
La cadena de ataque se desarrolla de manera similar, con un archivo LNK que actúa como conducto para un script por lotes ofuscado descargado desde un servidor C2 remoto, seguido de un archivo binario y CAT de Python, y finalmente un script Python compilado capaz de ejecutar comandos remotos y enviar los resultados al servidor C2.
Curiosamente, los nombres de las tareas programadas utilizadas para la configuración de persistencia siguen una convención de nomenclatura similar. La infección NarwhalRAT crea una tarea programada llamada ‘MicrosoftUserInterfacePicturesUpdateTackMachine’, mientras que la segunda cadena usa el nombre ‘MicrosoftMusicLibrariesPackageTaskMachine’.
«En general, NarwhalRAT se caracteriza por ser un malware RAT avanzado que integra un cargador de múltiples etapas basado en Python, una estructura de ejecución en memoria, un marco operativo multi-C2 y capacidades de recopilación selectiva de información», dijo Genians.
Source link
