Se ha observado una nueva campaña de malware aprovechando las tácticas de ingeniería social para ofrecer un rootkit de código franco llamado R77.
La actividad, condenada Confuso # vampiro Por Securonix, permite a los actores de amenaza establecer persistencia y sortear la detección de sistemas comprometidos. Actualmente no se sabe quién está detrás de la campaña.
RootKit “tiene la capacidad de encubrir o disfrazar cualquier archivo, secreto de registro o tarea comenzando con un prefijo específico”, dijeron los investigadores de seguridad Den Iuzvyk y Tim Peck en un mensaje compartido con Hacker News. “Ha estado dirigido a los usuarios disfrazándose de descargas de software legítimas o a través de estafas falsas de ingeniería social de Captcha”.
La campaña está diseñada para atacar principalmente a individuos de deje inglesa, particularmente a los Estados Unidos, Canadá, Alemania y al Reino Unido.
Obscure#BAT obtiene su nombre del hecho de que el punto de partida del ataque es un script de lotes de Windows ofled que, a su vez, ejecuta los comandos de PowerShell para activar un proceso de etapas múltiples que culmina en la implementación del RootKit.
Se han identificado al menos dos rutas de acercamiento iniciales diferentes para que los usuarios ejecute los scripts de lotes maliciosos: uno que utiliza la infame organización de ClickFix dirigiendo a los usuarios a una página falsa de demostración CloudFlare Captcha y un segundo método que emplea anunciando el malware como herramientas legítimas como Browser, Software VoIP y clientes de transporte.
Si correctamente no está claro cómo los usuarios son atraídos al software atrapado en el alelado, se sospecha que involucra enfoques probados como malvertidos o envenenamiento por optimización de motores de búsqueda (SEO).
Independientemente del método utilizado, la carga útil de la primera etapa es un archivo que contiene el script por lotes, que luego invoca los comandos de PowerShell para soltar scripts adicionales, realizar modificaciones del registro de Windows y configurar tareas programadas para la persistencia.
“Las tiendas de malware ofuscaron scripts en el registro de Windows y garantizan la ejecución a través de tareas programadas, lo que le permite ejecutar sigilosamente en segundo plano”, dijeron los investigadores. “Por otra parte, modifica las claves de registro del sistema para registrar un compensador imitado (ACPIX86.SYS), incrustándose aún más en el sistema”.
Implementado en el transcurso del ataque hay una carga útil .NET que emplea un liga de trucos para sortear la detección. Esto incluye la ofuscación de flujo de control, el secreto de cadenas y el uso de nombres de funciones que mezclan caracteres árabes, chinos y especiales.
Otra carga útil cargada por medio de PowerShell es un ejecutable que utiliza el parche de la interfaz de escaneo de antimalware (AMSI) para evitar detecciones antivirus.
La carga útil de .NET es en última instancia responsable de editar un RootKit de modo de sistema llamado “ACPIX86.SYS” en la carpeta “C: Windows System32 Drivers “, que luego se inicia como un servicio. Además se entrega un RootKit en modo de afortunado denominado R77 para configurar la persistencia en los archivos de host y ocultación, procesos y claves de registro que coinciden con el patrón ($ NYA-).
El malware monitorea aún más periódicamente para la actividad del portapapeles y el historial de comandos y los guardamano en archivos ocultos para una probable exfiltración.
“Obscure#BAT demuestra una prisión de ataque enormemente evasiva, aprovechando la ofuscación, las técnicas de sigilo y la enganche API para persistir en los sistemas comprometidos mientras evaden la detección”, dijeron los investigadores.
“Desde la ejecución original del script de lotes ofuscado (install.bat) hasta la creación de tareas programadas y scripts de registro almacenados, el malware garantiza la persistencia incluso posteriormente de reiniciar. Al inyectar procesos críticos del sistema como Winlogon.exe, manipula el comportamiento del proceso para complicar aún más la detección”.
Los hallazgos se producen cuando Cofense detalló una campaña de falsificación de Copilot de Microsoft que utiliza correos electrónicos de phishing para aguantar a los usuarios a una página de destino falsa para el asistente de inteligencia químico (IA) que está diseñada para cosechar las credenciales de los usuarios y los códigos de autenticación de dos factores (2FA).
