Los investigadores de ciberseguridad han detallado una campaña de malware de varias etapas que utiliza scripts por lotes como conducto para entregar varias cargas útiles de troyanos de acceso remoto (RAT) cifrados para XWorm, AsyncRAT y Xeno RAT.
Esta cadena de ataque sigiloso recibió el nombre en código VOID#GEIST de Securonix Threat Research.
En un nivel alto, el script por lotes ofuscado se utiliza para implementar un segundo script por lotes, preparar un tiempo de ejecución de Python integrado legítimo y descifrar blobs de código shell cifrados. El blob de shellcode cifrado se ejecuta directamente en la memoria inyectándolo en una instancia separada de ‘explorer.exe’ mediante una técnica llamada inyección de llamada a procedimiento asincrónico (APC) anticipada.
«Las campañas de malware modernas se están alejando cada vez más de los archivos ejecutables independientes hacia complejos marcos de entrega basados en scripts que imitan fielmente la actividad legítima de los usuarios», dijeron los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardsley en un informe técnico compartido con Hacker News.
«En lugar de implementar binarios de PE tradicionales, los atacantes aprovechan una canalización modular que consta de secuencias de comandos por lotes para la orquestación, PowerShell para la puesta en escena sigilosa, un tiempo de ejecución incorporado legítimo para la portabilidad y un código shell sin procesar ejecutado directamente en la memoria para persistencia y control».
Este mecanismo de ejecución sin archivos minimiza la oportunidad de detección basada en disco, lo que permite a los atacantes operar dentro de un sistema comprometido sin activar alertas de seguridad. Además, este enfoque tiene el beneficio adicional de que estos pasos individuales parecen inocuos por sí solos y se asemejan a actividades de gestión normales.
El punto de partida del ataque es un script por lotes recuperado del dominio TryCloudflare y distribuido mediante correos electrónicos de phishing. Una vez lanzado, se integra en operaciones administrativas aparentemente inofensivas, evitando intencionalmente los pasos de escalada de privilegios y aprovechando los privilegios del usuario actualmente conectado para establecer un punto de apoyo inicial.
La etapa inicial sirve como plataforma de lanzamiento para iniciar Google Chrome en pantalla completa y mostrar un PDF señuelo. Los documentos financieros y las facturas mostrados actúan como distracciones visuales para ocultar lo que sucede detrás de escena. Esto implica invocar un comando de PowerShell para volver a ejecutar el script por lotes original, incluido el uso del parámetro -WindowStyle Hidden para evitar mostrar la ventana de la consola.
Para garantizar la persistencia entre reinicios del sistema, se coloca un script por lotes auxiliar en el directorio de inicio del usuario de Windows y se ejecuta automáticamente cada vez que la víctima inicia sesión en el sistema. La ausencia de métodos de persistencia más intrusivos es intencionada ya que reduce la huella forense.
«Técnicamente, este método de persistencia opera completamente dentro del contexto privilegiado del usuario actual; no modifica las claves de registro de todo el sistema, no crea tareas programadas ni instala servicios», dijeron los investigadores. «En cambio, se basa en un comportamiento de inicio estándar a nivel de usuario, que no requiere elevación y minimiza la fricción de seguridad. Es menos probable que esta elección de diseño active mensajes de elevación de privilegios o alertas de monitoreo del registro».
La siguiente fase comienza cuando el malware accede al dominio TryCloudflare para recuperar una carga útil adicional en forma de un archivo ZIP que contiene varios archivos.
runn.py, un script de carga basado en Python responsable de descifrar el módulo de carga útil de shellcode cifrado e inyectarlo en la memoria new.bin, una carga útil de código de shell cifrado para XWorm xn.bin, una carga útil de código de shell cifrado para Xeno RAT pul.bin, una carga útil de código de shell cifrado para AsyncRAT a.json, n.json y p.json, un cargador de Python para decodificar dinámicamente el código de shell en tiempo de ejecución
Una vez que se extraen los archivos, la secuencia de ataque implementa un tiempo de ejecución de Python incorporado legítimo directamente desde python(.)org. Este paso tiene varias ventajas. En primer lugar, se eliminan las dependencias del sistema. Como resultado, el malware puede continuar ejecutándose incluso si Python está instalado en el punto final infectado.
«Desde la perspectiva de un atacante, el propósito de esta etapa es la portabilidad, la confiabilidad y el sigilo», dijo Securonix. «Al incorporar un intérprete legítimo en un directorio provisional, el malware lo transforma en un entorno de ejecución completamente autónomo que puede descifrar e inyectar módulos de carga útil sin depender de componentes externos del sistema».
El objetivo principal de este ataque es aprovechar el tiempo de ejecución de Python para iniciar ‘runn.py’ y utilizar la inyección Early Bird APC para descifrar y ejecutar la carga útil de XWorm. El malware también aprovecha un binario legítimo de Microsoft, AppInstallerPythonRedirector.exe, para llamar a Python e iniciar Xeno RAT. En la etapa final, el cargador de Python utiliza el mismo mecanismo de inyección para iniciar AsyncRAT.
La cadena de infección culmina cuando el malware envía una baliza HTTP mínima a la infraestructura C2 controlada por el atacante alojada en TryCloudflare para confirmar la intrusión digital. En este momento, no está claro quién fue el objetivo del ataque o si la infracción fue exitosa.
«Este patrón de inyección repetida fortalece la arquitectura modular del marco. En lugar de entregar una única carga útil monolítica, los atacantes implementan componentes en etapas, aumentando la flexibilidad y la resistencia», dijo Securonix. «Desde una perspectiva de detección, las inyecciones repetidas de procesos en explorer.exe dentro de un corto período de tiempo son fuertes indicadores de comportamiento de correlación en cada etapa del ataque».
Source link
