Los cazadores de amenazas han descubierto similitudes entre el malware bancario llamado Coyote y un programa malicioso recientemente lanzado llamado Maverick que se propagó a través de WhatsApp.
Según un informe de CyberProof, ambos programas maliciosos están escritos en .NET, se dirigen a usuarios y bancos en Brasil y tienen una funcionalidad idéntica para apuntar y descifrar URL bancarias y monitorear aplicaciones bancarias. Más importante aún, ambos incluyen la capacidad de difundirse a través de WhatsApp Web.
Maverick fue documentado por primera vez por Trend Micro a principios del mes pasado y se atribuyó a un actor de amenazas llamado Water Saci. Esta campaña incluye dos componentes. Malware autopropagante llamado SORVEPOTEL. Se utiliza para difundir a través de la versión web de escritorio de WhatsApp y entregar archivos ZIP que contienen la carga útil de Maverick.
El malware está diseñado para monitorear las pestañas activas de las ventanas del navegador en busca de URL que coincidan con una lista codificada de instituciones financieras latinoamericanas. Una vez que la URL coincide, establece una conexión con el servidor remoto, obtiene comandos posteriores para recopilar información del sistema y ofrece una página de phishing para robar credenciales.
En un informe posterior, la empresa de ciberseguridad Sophos planteó por primera vez la posibilidad de que esta actividad pudiera estar relacionada con una campaña previamente informada que difundió Coyote dirigido a usuarios en Brasil, y si Maverick es una versión evolucionada de Coyote. Un análisis separado de Kaspersky encontró que Maverick contiene una gran cantidad de código que se superpone con Coyote, pero señaló que Maverick está siendo tratado como una amenaza completamente nueva dirigida a Brasil.
Los últimos hallazgos de CyberProof muestran que el archivo ZIP contiene un acceso directo de Windows (LNK) que, cuando lo inicia el usuario, ejecuta cmd.exe o PowerShell para conectarse a un servidor externo (‘zapgrande(.)com’) y descargar la carga útil de la primera etapa. Los scripts de PowerShell pueden iniciar herramientas intermedias diseñadas para deshabilitar Microsoft Defender Antivirus y UAC, o recuperar el cargador .NET.
El cargador incluye tecnología antianálisis que verifica la presencia de herramientas de ingeniería inversa y finaliza automáticamente si encuentra alguna. Luego, el cargador comienza a descargar los módulos principales del ataque, SORVEPOTEL y Maverick. Vale la pena mencionar aquí que Maverick solo se instala después de confirmar que la víctima se encuentra en Brasil verificando la zona horaria, idioma, región, fecha y formato de hora del host infectado.
Cyberproof dijo que también encontró evidencia de que el malware se usó para identificar hoteles en Brasil, lo que sugiere que su objetivo podría expandirse.
Esta divulgación se produce cuando Trend Micro detalla una nueva cadena de ataque para Water Saci que emplea una infraestructura de comando y control (C2) basada en correo electrónico, se basa en la persistencia multivectorial para lograr resiliencia e incorpora varias comprobaciones avanzadas para evadir la detección, mejorar el sigilo operativo y limitar la ejecución solo a sistemas portugueses.
«La nueva cadena de ataque también cuenta con sistemas avanzados de comando y control remotos que permiten a los atacantes una gestión en tiempo real, incluyendo pausar, reanudar y monitorear campañas de malware, convirtiendo efectivamente las máquinas infectadas en herramientas de botnet que pueden operarse de manera colaborativa y dinámica a través de múltiples puntos finales», dijo la firma de ciberseguridad en un informe publicado a fines del mes pasado.
Se observa nueva cadena de ataque de Water Saci
Esta secuencia de infección evita los archivos binarios .NET y utiliza Visual Basic Script (VB Script) y PowerShell para secuestrar las sesiones del navegador de WhatsApp y difundir archivos ZIP a través de la aplicación de mensajería. Al igual que en cadenas de ataques anteriores, el secuestro web de WhatsApp se realiza descargando ChromeDriver y Selenium para la automatización del navegador.
Este ataque se activa cuando un usuario descarga y descomprime un archivo ZIP. Contiene un descargador VBS ofuscado (‘Orcamento.vbs’, también conocido como SORVEPOTEL) que emite comandos de PowerShell para descargar y ejecutar un script de PowerShell (‘tadeu.ps1’) directamente en la memoria.
Este script de PowerShell se utiliza para tomar el control de la sesión web de WhatsApp de la víctima y distribuir un archivo ZIP malicioso a todos los contactos asociados con esa cuenta, al mismo tiempo que muestra un banner engañoso llamado «WhatsApp Automation v6.0» para ocultar su intención maliciosa. Además, el script se conecta al servidor C2 para recuperar plantillas de mensajes y extraer la lista de contactos.
«Después de finalizar los procesos existentes de Chrome y borrar las sesiones antiguas para garantizar un funcionamiento limpio, el malware copia los datos legítimos del perfil de Chrome de la víctima en un espacio de trabajo temporal», dijo Trend Micro. «Estos datos incluyen cookies, tokens de autenticación y sesiones guardadas del navegador».
Cronología de la campaña Water Saci
«Esta técnica permite que el malware evite por completo la autenticación web de WhatsApp y obtenga acceso instantáneamente a la cuenta de WhatsApp de la víctima sin generar alertas de seguridad ni requerir escaneo de códigos QR».
El malware también implementa mecanismos avanzados de control remoto que permiten a los atacantes pausar, reanudar y monitorear la propagación de WhatsApp en tiempo real, convirtiendo efectivamente los hosts comprometidos en malware que puede controlarlos como robots, agregó la firma de ciberseguridad.
En cuanto a cómo se distribuye realmente el archivo ZIP, el código de PowerShell recorre todos los contactos recopilados, reemplaza las variables en la plantilla del mensaje con un saludo basado en la hora y el nombre del contacto, y busca un comando de pausa antes de enviar el mensaje personalizado.
Otro aspecto importante de SORVEPOTEL es que utiliza una conexión IMAP a la cuenta de correo electrónico terra.com(.)br utilizando credenciales de correo electrónico codificadas para conectarse a la cuenta de correo electrónico y recuperar comandos, en lugar de utilizar la comunicación tradicional basada en HTTP. Algunas de estas cuentas están protegidas mediante autenticación multifactor (MFA) para evitar el acceso no autorizado.
Se dice que esta capa adicional de seguridad causó retrasos operativos, ya que los atacantes tuvieron que ingresar manualmente un código de autenticación único en cada inicio de sesión para acceder a la bandeja de entrada y almacenar la URL del servidor C2 utilizada para enviar comandos. Luego, la puerta trasera sondea periódicamente el servidor C2 para obtener instrucciones. La lista de comandos admitidos es:
INFO, recopila información detallada del sistema. Ejecute comandos a través de CMD, cmd.exe y exporte los resultados de la ejecución a un archivo temporal. POWERSHELL, ejecute el comando PowerShell. CAPTURA DE PANTALLA para tomar una captura de pantalla. TASKLIST enumera todos los procesos en ejecución. KILL, finaliza un proceso específico. LIST_FILES, enumera archivos/carpetas. DOWNLOAD_FILE, descarga archivos de sistemas infectados. UPLOAD_FILE, carga un archivo al sistema infectado. BORRAR, eliminar un archivo/carpeta específica. RENAME, cambia el nombre de un archivo/carpeta. COPIAR, copiar un archivo/carpeta. MOVER, mover un archivo/carpeta. FILE_INFO, obtiene metadatos detallados sobre un archivo. SEARCH, busca recursivamente archivos que coincidan con el patrón especificado. CREATE_FOLDER, crea una carpeta. REBOOT, inicia un reinicio del sistema con un retraso de 30 segundos. APAGADO, inicia el apagado del sistema con un retraso de 30 segundos. ACTUALIZAR, descargar e instalar la versión actualizada. sí mismo CHECK_EMAIL, comprueba si el correo electrónico controlado por el atacante tiene una nueva URL C2
La naturaleza generalizada de la campaña está impulsada por la popularidad de WhatsApp en Brasil, que tiene más de 148 millones de usuarios activos, lo que lo convierte en el segundo mercado más grande del mundo después de India.
Trend Micro dijo que «la evolución de los métodos de infección y las tácticas actuales, así como los objetivos centrados regionalmente, indican que Water Saci probablemente esté asociado con Coyote, y que ambas campañas operan dentro del mismo ecosistema de cibercrimen brasileño», y que los atacantes son agresivos en «cantidad y calidad».
«La combinación de la campaña Water Saci con Coyote ofrece una imagen de un cambio importante en la forma en que se propagan los troyanos bancarios. Los actores de amenazas están pasando de depender de cargas útiles tradicionales a explotar perfiles de navegador y plataformas de mensajería legítimos para ataques sigilosos y escalables».
Source link
