Investigadores de ciberseguridad han descubierto una campaña en curso dirigida a usuarios indios con una puerta trasera de varias etapas como parte de una supuesta campaña de ciberespionaje.
La actividad, según la Dispositivo de Respuesta a Amenazas (TRU) de eSentire, implica el uso de correos electrónicos de phishing que se hacen advenir por el Sección de Impuestos sobre la Renta de la India para engañar a las víctimas para que descarguen un archivo desconfiado y, en última instancia, otorga a los actores de amenazas comunicación persistente a sus máquinas para un monitoreo continuo y filtración de datos.
El objetivo final del sofisticado ataque es implementar una reforma de un conocido troyano bancario llamado Blackmoon (incluso conocido como KRBanker) y una utensilio empresarial legítima emplazamiento SyncFuture TSM (Terminal Security Management) desarrollada por Nanjing Zhongke Huasai Technology Co., Ltd, una empresa china. La campaña no se ha atribuido a ningún actor o peña de amenazas conocido.
“Si adecuadamente se comercializa como una utensilio empresarial legítima, en esta campaña se reutiliza como un poderoso ámbito de espionaje todo en uno”, dijo eSentire. “Al implementar este sistema como su carga útil final, los actores de amenazas establecen una persistencia resistente y obtienen un rico conjunto de características para monitorear la actividad de las víctimas y tener la llave de la despensa de guisa centralizada el robo de información confidencial”.
El archivo ZIP distribuido a través de los avisos falsos de multas fiscales contiene cinco archivos diferentes, todos los cuales están ocultos excepto un ejecutable (“Inspection Document Review.exe”) que se utiliza para descargar una DLL maliciosa presente en el archivo. La DLL, por su parte, implementa comprobaciones para detectar retrasos inducidos por el depurador y contacta a un servidor extranjero para recuperar la carga útil de la ulterior etapa.
Luego, el código shell descargado utiliza una técnica basada en COM para callar el mensaje de Control de cuentas de afortunado (UAC) para obtener privilegios administrativos. Todavía modifica su propio Bando de entorno de proceso (PEB) para hacerse advenir por el proceso lícito “explorer.exe” de Windows para advenir desapercibido.
Adicionalmente de eso, recupera la ulterior etapa “180.exe” del dominio “eaxwwyr(.)cn”, un instalador Inno Setup de 32 bits que ajusta su comportamiento en función de si el proceso Avast Free Antivirus (“AvastUI.exe”) se está ejecutando en el host comprometido.
Si se detecta el software de seguridad, el malware utiliza una simulación cibernética del mouse para navegar por la interfaz de Avast y pegar archivos maliciosos a su repertorio de excepción sin deshabilitar el motor antivirus para evitar la detección. Esto se logra mediante una DLL que se considera una reforma de la comunidad de malware Blackmoon, conocida por apuntar a empresas en Corea del Sur, Estados Unidos y Canadá. Apareció por primera vez en septiembre de 2015.
El archivo ayudante a la repertorio de excepción es un ejecutable llamado “Setup.exe”, que es una utilidad de SyncFutureTec Company Limited y está diseñada para escribir “mysetup.exe” en el disco. Se considera que este postrero es SyncFuture TSM, una utensilio comercial con capacidades de distribución y monitoreo remoto (RMM).
Al aprovecharse de una propuesta legítima, los actores de amenazas detrás de la campaña obtienen la capacidad de controlar de forma remota los puntos finales infectados, registrar las actividades de los usuarios y filtrar datos de interés. Todavía se implementan a posteriori de la ejecución del ejecutable otros archivos:
- Scripts por lotes que crean directorios personalizados y modifican sus listas de control de comunicación (ACL) para otorgar permisos a todos los usuarios.
- Scripts por lotes que manipulan los permisos de los usuarios en las carpetas del escritorio
- Un script por lotes realiza operaciones de desinfección y restauración
- Un ejecutable llamado “MANC.exe” que organiza diferentes servicios y permite un registro extenso
“Les proporciona las herramientas no sólo para robar datos sino incluso para ayudar un control granular sobre el entorno comprometido, monitorear la actividad del afortunado en tiempo actual y certificar su propia persistencia”, dijo eSentire. “Al combinar antianálisis, ascensión de privilegios, descarga de DLL, reutilización de herramientas comerciales y entretenimiento de software de seguridad, el actor de amenazas demuestra capacidad e intención”.
