Se ha observado que los actores de amenaza que aprovechan las tácticas engañosas de ingeniería social conocidas como ClickFix implementarán el nombre de código de puerta trasera versátil Cornflake.v3.
Mandiant, propiedad de Google, describió la actividad que rastrea como UNC5518. Esto se describe como parte del esquema de acceso como acceso como un servicio que utiliza páginas Captcha falsas como señuelos para proporcionar acceso inicial al sistema, y luego es monetizado por otros grupos de amenazas.
«El primer vector de infección, llamado ClickFix, implica guiar a los usuarios a copiar scripts de PowerShell malicioso en sitios web comprometidos y ejecutarlos a través del cuadro de diálogo (Ejecutar Windows)», dijo Google en un informe publicado hoy.
El acceso proporcionado por UNC5518 se evalúa como el utilizado por al menos dos grupos de piratería diferentes, UNC5774 y UNC4108, para iniciar el proceso de infección de varias etapas y eliminar cargas útiles adicionales –
UNC5774, otro grupo motivado financieramente que proporciona copos de maíz como una forma de implementar varias cargas útiles posteriores es el actor de amenaza con una motivación desconocida para implementar herramientas como Voltmarker y NetSupport Rats usando PowerShell;
La cadena de ataque puede comenzar con la víctima que aterriza una página de verificación Captcha falsa después de interactuar con los resultados de búsqueda que utilizan adicción a la optimización de motores de búsqueda (SEO) o anuncios maliciosos.
Luego se engaña al usuario por la ejecución de comandos de PowerShell malicioso al iniciar el cuadro de diálogo Ejecutar Windows y ejecuta la carga útil de la próxima etapa desde el servidor remoto. El script recientemente descargado verifica si se está ejecutando dentro de un entorno virtualizado y finalmente lanza Cornflake.v3.
Observado tanto en las versiones de JavaScript como en PHP, Cornflake.v3 es una puerta trasera que admite la ejecución de cargas útiles a través de HTTP, incluidos ejecutables, bibliotecas de enlaces dinámicos (DLL), archivos JavaScript, scripts por lotes y comandos de PowerShell. También le permite recopilar información básica del sistema y enviarla a un servidor externo. Para evitar la detección, el tráfico se indica a través del túnel CloudFlare.
«Cornflake.v3 es una versión actualizada de Cornflake.v2, y comparte una parte significativa de la base de código», dijo el investigador Mandiant Marco Gali. «A diferencia de V2, que actúa solo como descargador, V3 tiene persistencia del host a través de la clave de ejecución del registro y admite tipos de carga útil adicional».
Ambas generaciones son significativamente diferentes de los descargadores basados en C que usan Sockets TCP para la comunicación de comando y control (C2) y tienen la capacidad de realizar cargas útiles de DLL.
La persistencia del host se logra a través de cambios en el registro de Windows. Al menos tres cargas útiles diferentes se entregarán a través de Cornflake.v3. Consiste en una utilidad de reconocimiento de Active Directory, un guión para cosechar calificaciones a través de Kerberoasting, y otra puerta trasera llamada Windytwist.Sea.
También se ha observado que la versión seleccionada de WindyTwist.SEA está intentando moverse lateralmente a través de la red de máquinas infectadas.
«Las instituciones deben deshabilitar el cuadro de diálogo siempre que sea posible (ejecute Windows) para mitigar la ejecución de malware a través de ClickFix», dijo Galli. «Los ejercicios de simulación regulares son importantes para contrarrestar esta y otras tácticas de ingeniería social. Además, los sistemas de registro y monitoreo robustos son esenciales para detectar ejecuciones posteriores de carga útil, como las relacionadas con Cornflake.v3».
La infección USB eliminará Xmrig Miner
Esta divulgación se produce cuando las compañías de inteligencia de amenazas detallan la campaña en curso a partir de septiembre de 2024 en adelante para infectar a otros anfitriones y emplear impulsos USB para implementar mineros de criptomonedas.
«Esto demuestra la efectividad continua del acceso inicial a través de unidades USB infectadas», dijo Mandiant. «El bajo costo y la capacidad de evitar la seguridad de la red hacen que esta sea una opción convincente para los atacantes».
La cadena de ataque comienza cuando la víctima se engaña para ejecutar un acceso directo de Windows (LNK) en la unidad USB comprometida. Los archivos LNK le permiten ejecutar el script Visual Basic, que también está en la misma carpeta. El script inicia un script por lotes para iniciar una infección –
Un lanzador de DLL C ++ que comienza a ejecutar otros componentes maliciosos como DirtyBulk, CutFail, C ++ Malware Dropper responsable de descifrarse e instalar malware en sistemas como Highreps y Bobbench, y una puerta trasera de C ++ que facilita la reconocimiento, como las terceras bibliotecas como OpenSSL, Libcurl, WinPthreadghreadgctings High REPTES FLECESS ARTESS ACTES ATHEATGS ATHEATECES ALTA. PumpBench, una puerta trasera de C ++ que facilita el reconocimiento, como los servidores de bases de datos PostgreSQL, proporciona acceso remoto y descarga XMRIG XMRIG, un software de código abierto para minería de criptomonedas como Monero, Dero, Ravencoin.
«Infectar unidades USB propague el banco de la bomba», dice Mandiant. «Escanee el sistema en las unidades disponibles y luego cree archivos por lotes, archivos VBScript, archivos de acceso directo y archivos DAT».
Source link
