Investigadores de ciberseguridad han revelado detalles de una nueva campaña cibernética rusa dirigida a organizaciones en Ucrania utilizando dos familias de malware previamente no documentadas, BadPaw y MeowMeow.
«La cadena de ataque comienza con un correo electrónico de phishing que contiene un enlace a un archivo ZIP. Una vez extraído, el primer archivo HTA muestra un documento señuelo escrito en ucraniano con una denuncia de cruce de fronteras para engañar a la víctima», dijo ClearSky en un informe publicado esta semana.
En paralelo, la cadena de ataque conduce a la implementación de un cargador basado en .NET llamado BadPaw, que luego establece comunicación con un servidor remoto para buscar e implementar una puerta trasera avanzada llamada MeowMeow.
Se cree con moderada confianza que esta campaña es obra de un actor de amenazas patrocinado por el Estado ruso conocido como APT28, basándose en la huella objetivo, la naturaleza geopolítica de los señuelos utilizados y la superposición con técnicas observadas en operaciones cibernéticas rusas anteriores.
El punto de partida de la cadena de ataque es un correo electrónico de phishing enviado desde ukr(.)net, que parece tener como objetivo establecer credibilidad y garantizar la confianza de las víctimas objetivo. El mensaje contiene un enlace que pretende ser un archivo ZIP que redirige al usuario a una URL que carga una «imagen muy pequeña», actuando efectivamente como un píxel de seguimiento para notificar al operador que se ha hecho clic en el enlace.
Una vez completado este paso, la víctima será redirigida a una URL secundaria donde se descargará el archivo. El archivo ZIP contiene una aplicación HTML (HTA) que, cuando se inicia, suelta un documento señuelo como mecanismo de distracción mientras se ejecutan etapas posteriores en segundo plano.
«El documento señuelo lanzado actúa como una táctica de ingeniería social, ofreciendo confirmación de la recepción de las apelaciones del gobierno sobre los cruces fronterizos en Ucrania», dijo ClearSky. «Este señuelo está destinado a mantener cierta legitimidad ostensible».
Los archivos HTA también ejecutan comprobaciones para evitar que se ejecuten en un entorno sandbox. Esto se hace consultando la clave de registro de Windows «KLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate» para estimar la «antigüedad» del sistema operativo. Este malware está diseñado para dejar de ejecutarse dentro de los 10 días posteriores a su instalación en el sistema.
Si el sistema cumple con los estándares ambientales, el malware encuentra el archivo ZIP descargado, extrae dos archivos (Visual Basic Script (VBScript) y una imagen PNG) y los guarda en el disco con nombres diferentes. También crea una tarea programada que ejecuta VBScript como una forma de garantizar la persistencia en los sistemas infectados.
La función principal de VBScript es extraer código malicioso incrustado en imágenes PNG. Un cargador ofuscado llamado BadPaw puede conectarse a un servidor de comando y control (C2) y descargar componentes adicionales, incluido un ejecutable llamado MeowMeow.
«De acuerdo con el oficio ‘BadPaw’, cuando este archivo se ejecuta independientemente de toda la cadena de ataque, se inicia una secuencia de código ficticio», explicó la firma israelí de ciberseguridad. «Esta ejecución de señuelo muestra una interfaz gráfica de usuario (GUI) que presenta una foto de un gato, que coincide con el tema visual del archivo de imagen inicial del cual se extrajo el malware principal».
«Cuando haces clic en el botón ‘miau miau’ dentro de la GUI del señuelo, la aplicación simplemente muestra un mensaje ‘miau miau miau’ y no realiza ninguna otra acción maliciosa. Esto actúa como un señuelo funcional secundario para engañar al análisis manual».
El código malicioso de la puerta trasera solo se activa cuando se ejecuta con un parámetro específico (‘-v’) proporcionado por la cadena de infección inicial y después de asegurarse de que se ejecuta en un punto final real en lugar de en una zona de pruebas, y que no se ejecutan herramientas forenses o de monitoreo como Wireshark, Procmon, Ollydbg o Fiddler en segundo plano.
El núcleo de MeowMeow es la capacidad de ejecutar de forma remota comandos de PowerShell en hosts comprometidos y admitir operaciones del sistema de archivos, como lectura, escritura y eliminación de datos. ClearSky dijo que había identificado cadenas rusas en el código fuente, lo que respalda su evaluación de que la actividad fue obra de atacantes de habla rusa.
«La presencia de estas cadenas rusas sugiere dos posibilidades: o los atacantes cometieron un error de seguridad operativa (OPSEC) al no localizar el código para el entorno de destino ucraniano, o sin darse cuenta dejaron artefactos rusos en el código durante la producción del malware».
Source link
