Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña llamada JS#SMUGGLER. Se ha observado que esta campaña utiliza sitios web comprometidos como vector de distribución de un troyano de acceso remoto llamado NetSupport RAT.
La cadena de ataque analizada por Securonix incluye tres partes móviles principales: un cargador de JavaScript ofuscado inyectado en un sitio web, una aplicación HTML (HTA) que utiliza ‘mshta.exe’ para ejecutar un stager de PowerShell cifrado y una carga útil de PowerShell diseñada para descargar y ejecutar el malware principal.
Los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee dijeron: «NetSupport RAT permite a los atacantes un control total sobre el host de la víctima, incluido el acceso al escritorio remoto, la manipulación de archivos, la ejecución de comandos, el robo de datos y la funcionalidad de proxy».
En este momento, hay poca evidencia que vincule esta campaña con grupos o países amenazantes conocidos. Se descubrió que esta actividad estaba dirigida a usuarios corporativos a través de sitios web comprometidos, lo que indica un esfuerzo generalizado.
La firma de ciberseguridad lo describió como una operación de malware basada en web de varias etapas que utiliza iframes ocultos, cargadores ofuscados y ejecución de scripts en capas para la implementación de malware y el control remoto.
En estos ataques, las redirecciones silenciosas integradas en sitios web infectados actúan como un conducto para un cargador de JavaScript altamente codificado («phone.js») obtenido de un dominio externo que perfila el dispositivo y determina si se debe servir un iframe de pantalla completa (si se accede desde un teléfono móvil) o cargar otro script remoto de segunda etapa (si se accede desde un escritorio).
El iframe invisible está diseñado para redirigir a las víctimas a una URL maliciosa. El cargador de JavaScript tiene un mecanismo de seguimiento incorporado que minimiza las posibilidades de detección al garantizar que la lógica maliciosa solo se invoque una vez, en el primer acceso.
«Esta bifurcación con reconocimiento de dispositivo permite a los atacantes adaptar los vectores de infección, ocultar la actividad maliciosa de entornos específicos y maximizar las tasas de éxito al entregar cargas útiles apropiadas para la plataforma y al mismo tiempo evitar una exposición innecesaria», dijeron los investigadores.
El script remoto descargado durante la primera etapa del ataque sienta las bases al construir una URL donde, tras la ejecución, la carga útil de HTA se descarga y ejecuta utilizando ‘mshta.exe’. La carga útil HTA es otro cargador para un stager temporal de PowerShell que se escribe en el disco, se descifra y se ejecuta directamente en la memoria para evitar la detección.
Además, el archivo HTA se ejecuta en secreto desactivando todos los elementos visibles de la ventana y minimizando la aplicación al inicio. Una vez que se ejecuta la carga útil descifrada, también se toman medidas para eliminar el stager de PowerShell del disco y finalizarlo con el menor rastro forense posible.
El objetivo principal de la carga útil descifrada de PowerShell es recuperar e implementar NetSupport RAT, dando al atacante un control total sobre el host comprometido.
«Las técnicas de evasión sofisticadas y de múltiples capas indican claramente que se mantiene activamente un marco de malware profesional», dijo Securonix. «Los defensores deben implementar una fuerte aplicación de CSP, monitoreo de scripts, registros de PowerShell, restricciones de mshta.exe y análisis de comportamiento para detectar dichos ataques de manera efectiva».
CHAMELEON#NET entrega malware Formbook
La divulgación se produce semanas después de que la compañía también detallara otra campaña de malspam de varias etapas llamada CHAMELEON#NET que utilizaba correos electrónicos de phishing para entregar Formbook, un registrador de teclas y herramienta de robo de información. Este mensaje de correo electrónico tiene como objetivo atraer a las víctimas del Departamento Nacional de Seguridad Social para que descarguen un archivo aparentemente inofensivo obteniendo sus credenciales en un portal de correo web falso diseñado para este propósito.
«La campaña comienza con un correo electrónico de phishing que engaña a los usuarios para que descarguen un archivo .BZ2, iniciando una cadena de infección de varios pasos», dijo Sangwan. «La carga útil inicial es un archivo JavaScript altamente ofuscado que actúa como un cuentagotas y conduce a la ejecución de un cargador VB.NET complejo. Este cargador utiliza reflexión avanzada y un cifrado XOR condicional personalizado para descifrar y ejecutar la carga útil final, el Formbook RAT, completamente en la memoria».
Específicamente, el cuentagotas de JavaScript decodifica dos archivos JavaScript adicionales y los escribe en el disco en el directorio %TEMP%.
svchost.js: suelta un ejecutable del cargador .NET llamado DarkTortilla (‘QNaZg.exe’). Este es un cifrador comúnmente utilizado para distribuir cargas útiles de la siguiente etapa. Adobe.js: suelte un archivo llamado «PHat.jar». Este es un paquete de instalación MSI que se comporta de manera similar a ‘svchost.js’.
En esta campaña, el cargador está configurado para descifrar y ejecutar la DLL integrada, el malware Formbook. La persistencia se logra agregándolo a la carpeta de inicio de Windows para que se inicie automáticamente cuando se reinicie el sistema. Alternativamente, también administre la persistencia a través del Registro de Windows.
«Esos atacantes han utilizado con éxito una combinación de ingeniería social, ofuscación avanzada de scripts y técnicas avanzadas de evasión de .NET para comprometer con éxito sus objetivos», dijo Securonix. «Al utilizar una rutina de descifrado personalizada seguida de una carga reflectante, la carga útil final se puede ejecutar sin archivos, lo que aumenta significativamente la complejidad de la detección y el análisis forense».
Source link
