Los investigadores de ciberseguridad han revelado detalles de una campaña de phishing que proporciona un troyano de acceso remoto que se ha convertido en malware bancario sigiloso llamado Master Rats.
Los ataques de phishing incorporan muchas técnicas de evasión avanzada, extendiendo la funcionalidad al proporcionar un control total sobre los sistemas comprometidos, los datos sensibles a los sifones y la proporcionando complementos secundarios, dice Fortinet Fortiguard Labs.
«Esto incluye el uso de un lenguaje de programación simple (EPL) para desarrollar cargas útiles paso a paso, ocultar operaciones maliciosas, deshabilitar las herramientas de seguridad para evitar desencadenantes de alerta, garantizar la comunicación de comando y control (C2) utilizando TLS mutuo (MTL), admite varias formas de implementar cargas útiles adicionales e instalar herramientas remotas populares.
EPL es un lenguaje de programación visual ambiguo que admite variantes tradicionales chinos, simplificados chinos, ingleses y japoneses. Esto está destinado principalmente a usuarios que no son competentes en inglés.
Diseñados principalmente para atacar a los usuarios japoneses, los correos electrónicos son archivos de Microsoft Word que incrustan los archivos zip al aprovechar los señuelos asociados con las consultas comerciales y hacer clic en enlaces maliciosos que van a sitios infectados para engañar a los destinatarios.
El archivo ejecutable que reside en el archivo ZIP es un ejecutable que desencadena la ejecución de Mosterat y se utiliza para eliminar varias herramientas como AnyDesk, Tigervnc, TIGEVNC, etc. utilizando módulos escritos en EPL. Un aspecto notable del malware es su capacidad para deshabilitar los mecanismos de seguridad de Windows y bloquear el tráfico de red relacionado con una lista codificada de programas de seguridad.
«Esta técnica de bloqueo de tráfico es similar a la herramienta de equipo rojo conocida» Edrsilencer «. Esto utiliza filtros de la plataforma de filtrado de Windows (WFP) para evitar que los filtros usen múltiples etapas de la pila de comunicaciones de red, conectándose al servidor y enviando datos de detección, alertas, registros de eventos u otra telemetría», dice Wan.
La otra es una función que se ejecuta como TrustedInstaller, una cuenta interna del sistema de Windows con altos privilegios, lo que le permite interferir con importantes procesos de Windows, modificar las entradas del registro de Windows y eliminar archivos del sistema.
Además, uno de los módulos desplegados por Mothererat está equipado para monitorear la actividad de la ventana de primer plano relacionada con las herramientas de vendedores de Alibaba, las teclas de registro de registro, el envío de señales de corazón a servidores externos y Qianniu relacionado con comandos de proceso emitidos por el servidor.
El comando recopila detalles del host de la víctima, ejecuta un archivo DLL, EPK o EXE, lee ShellCode, lee/elimina los archivos, inserta EXE en SVCHOST.EXE usando inyección de pájaros temprano, enumera a los usuarios, captura capturas de captura de captura, promueve los inicios de sesión de RDP e incluso crea y agrega a los usuarios alquilados al grupo administradores.
«Estas tácticas aumentan significativamente la dificultad de detección, prevención y análisis», dijo Fortinet. «Además de actualizar las soluciones, sigue siendo esencial educar a los usuarios sobre los peligros de la ingeniería social».
ClickFix obtiene otro giro novedoso
Los hallazgos coinciden con el surgimiento de otra campaña que emplea «técnica de acceso a ClickFix», y distribuye una información de productos básicos, conocido como MetaStealer a los usuarios que buscan herramientas como Anydesk.
La cadena de ataque proporcionará una página falsa de estilo TurnStyle de CloudFlare antes de descargar el instalador Anydesk esperado y le pedirá que haga clic en la casilla de verificación para completar el paso de confirmación. Sin embargo, esta acción desencadena un mensaje emergente que le pide que abra el explorador de archivos de Windows.
Cuando se abre Windows File Explorer, el código PHP oculto en la página de verificación de estilo TurnStyle está configurado para usar el controlador de protocolos URI «Search MS:».
El archivo LNK activa una serie de pasos para recopilar nombres de host y luego ejecuta un paquete MSI responsable de la eliminación de MetaStealer.
«Este tipo de ataques que requieren cierto grado de interacción manual del trabajo de víctimas para» arreglar «el proceso roto en sí, lo que puede permitirle evitar la solución de seguridad», dijo Huntress. «Los funcionarios de amenazas continúan moviendo la aguja con la cadena de infecciones, arrojando la llave en la detección y la prevención».
Esta divulgación también se realiza ya que CloudSek ha detallado una nueva adaptación de las tácticas de ingeniería social de ClickFix que arman los sistemas de IA utilizando métodos de ofuscación basados en CSS y crean un resumen que contiene las instrucciones para click-ajyes controlados por los atacantes.
Los ataques de prueba de concepto (POC) se logran utilizando una estrategia llamada sobredosis rápida. Esta estrategia está ampliamente integrada en el contenido de HTML para dominar la ventana de contexto de los modelos de lenguaje grandes para manipular la salida.
«Este enfoque se dirige a resúmenes integrados en aplicaciones como clientes de correo electrónico, extensiones de navegador y plataformas de productividad», dijo la compañía. «Al aprovechar las ubicaciones de los usuarios de confianza en resúmenes generados por IA, este método proporciona instrucciones maliciosas y paso a paso que pueden facilitar la implementación de ransomware».
«La sobredosis rápida es una técnica operativa que sobrepasa la ventana de contexto de un modelo de IA con contenido denso y repetitivo y controla la salida. Al saturar la entrada con texto seleccionado por el atacante, el contexto legítimo se deja a un lado, y la atención del modelo se retira a la carga útil inyectada».
Source link
