Investigadores de ciberseguridad han descubierto una campaña en curso dirigida a usuarios de la India que utiliza puertas traseras de varias etapas como parte de una supuesta campaña de ciberespionaje.
Según la Unidad de Respuesta a Amenazas (TRU) de eSentire, esta actividad implica el uso de correos electrónicos de phishing que se hacen pasar por el Departamento de Impuestos sobre la Renta de la India para engañar a las víctimas para que descarguen archivos maliciosos y, en última instancia, otorgar a los actores de amenazas acceso persistente a sus máquinas para un monitoreo continuo y filtración de datos.
El objetivo final de este sofisticado ataque es implementar una variante de un conocido troyano bancario llamado Blackmoon (también conocido como KRBanker) y una herramienta empresarial legítima llamada SyncFuture TSM (Terminal Security Management) desarrollada por la empresa china Nanjing Zhongke Huasai Technology Co., Ltd. Esta campaña no es obra de ningún atacante o grupo conocido.
«Aunque se comercializa como una herramienta corporativa legítima, en esta campaña se ha reutilizado como un poderoso marco de espionaje todo en uno», dijo eSentire. «Al implementar este sistema como carga útil final, los atacantes obtienen un amplio conjunto de capacidades para establecer una persistencia resiliente, monitorear la actividad de las víctimas y gestionar de forma centralizada el robo de información confidencial».
El archivo ZIP distribuido a través de la factura de impuestos falsa contiene cinco archivos diferentes, todos ocultos excepto un archivo ejecutable (“Inspection Document Review.exe”) que se utiliza para descargar la DLL maliciosa presente en el archivo. La DLL implementa comprobaciones para detectar retrasos causados por el depurador y se conecta a un servidor externo para recuperar la carga útil de la siguiente etapa.
El código shell descargado utiliza técnicas basadas en COM para omitir las indicaciones del Control de cuentas de usuario (UAC) y obtener privilegios administrativos. También pasa desapercibido al modificar su propio bloque de entorno de proceso (PEB) para disfrazarse de un proceso legítimo «explorer.exe» de Windows.
Además, la siguiente etapa, «180.exe», se recupera del dominio «eaxwwyr(.)cn». Este es un instalador de configuración Inno de 32 bits que ajusta su comportamiento en función de si el proceso Avast Free Antivirus (‘AvastUI.exe’) se está ejecutando en el host comprometido.
Una vez que se detecta un programa de seguridad, el malware utiliza una simulación automática del mouse para manipular la interfaz de Avast y agregar archivos maliciosos a la lista de exclusión sin deshabilitar el motor antivirus y evitar la detección. Esto se logra a través de una DLL que se considera una variante de la familia de malware Blackmoon, que se sabe que apunta a empresas en Corea del Sur, Estados Unidos y Canadá. Este problema surgió por primera vez en septiembre de 2015.
El archivo agregado a la lista de exclusión es un archivo ejecutable llamado «Setup.exe». Esta es una utilidad de SyncFutureTec Company Limited, diseñada para escribir «mysetup.exe» en el disco. Este último está calificado como SyncFuture TSM, una herramienta comercial con capacidades de monitoreo y administración remota (RMM).
Al explotar productos legítimos, los atacantes detrás de la campaña obtienen la capacidad de controlar de forma remota los puntos finales infectados, registrar las actividades de los usuarios y robar datos confidenciales. Tras la ejecución del ejecutable, también se implementan otros archivos.
Scripts por lotes que crean directorios personalizados y modifican listas de control de acceso (ACL) para otorgar permisos a todos los usuarios Scripts por lotes que manipulan los permisos de los usuarios en las carpetas del escritorio Scripts por lotes que realizan operaciones de limpieza y restauración Un archivo ejecutable llamado «MANC.exe» que organiza varios servicios y permite un registro exhaustivo
«No sólo roba datos, sino que proporciona herramientas para ejercer un control detallado sobre entornos comprometidos, monitorear la actividad del usuario en tiempo real y garantizar su propia persistencia», dijo eSentire. «A través de una combinación de contramedidas analíticas, escalada de privilegios, descarga de DLL, reutilización de herramientas comerciales y evasión de software de seguridad, los actores de amenazas demuestran tanto sus capacidades como sus intenciones».
Source link
