Se ha observado un nuevo ataque de varias etapas que ofrece familias de malware como las variantes del agente Tesla, REMCOS RAT y XLOGER.
“Los atacantes confían cada vez más en mecanismos de entrega tan complejos para eludir la detección, evitar los sandboxes tradicionales y asegurar la entrega y ejecución exitosas de la carga útil”, dijo el investigador 42 del investigador Saqib Khanzada en una redacción técnica de la campaña.
El punto de partida del ataque es un correo electrónico engañoso que plantea una solicitud de pedido para entregar un archivo de archivo astuto de 7 ZIP, que contiene un archivo JavaScript codificado (.JSE).
El correo electrónico de phishing, observado en diciembre de 2024, afirmó falsamente que se había realizado un plazo e instó al destinatario a revisar un archivo de pedido adjunto. El propagación de la carga útil de JavaScript desencadena la secuencia de infección, con el archivo que actúa como un descargador para un script PowerShell desde un servidor extranjero.
El script, a su vez, alberga una carga útil codificada de Base64 que luego se descifró, escrita en el directorio temporal de Windows y se ejecuta. Aquí es donde sucede poco interesante: el ataque conduce a un cuentagotas de próxima etapa que se compila usando .NET o Autoit.
En el caso de un ejecutable de .NET, la carga útil incrustada incrustada, una transformación de agente Tesla sospechada de serpiente keylogger o xloader, está decodificada e inyectada en un proceso “regasma.exe” en ejecución, una técnica observada en las campañas de Tesla del agente previo.
El Autoit compilado ejecutable, por otro flanco, introduce una capa adicional en un intento de complicar aún más los esfuerzos de prospección. El script Autoit interiormente del ejecutable incorpora una carga útil encriptada responsable de cargar el código de shell -Code final, lo que hace que el archivo .NET se inyecte en un proceso “regsvcs.exe”, que finalmente lleva a la implementación del agente Tesla.
“Esto sugiere que el atacante emplea múltiples rutas de ejecución para aumentar la resiliencia y eludir la detección”, señaló Khanzada. “El enfoque del atacante permanece en una condena de ataque de varias capas en área de una ofuscación sofisticada”.
“Al apilar etapas simples en área de centrarse en técnicas mucho sofisticadas, los atacantes pueden crear cadenas de ataque resistentes que complicen el prospección y la detección”.
Ironhusky ofrece una nueva traducción de MysterSynail Rat
La divulgación se produce cuando Kaspersky detalló una campaña que se dirige a las organizaciones gubernamentales ubicadas en Mongolia y Rusia con una nueva traducción de un malware llamado MysterySnail Rat. La actividad se ha atribuido a un actor de amenaza de acento china denominada Ironhusky.
Ironhusky, evaluado como activo desde al menos 2017, fue documentado anteriormente por la Russian CyberseCurity Company en octubre de 2021 en relación con la explotación del día cero de CVE-2021-40449, un defecto de ascenso de privilegio Win32k, para entregar MysterySnail.
Las infecciones se originan en un script de consola de papeleo de Microsoft (MMC) astuto que imita un documento de Word de la Agencia Doméstico de Tierras de Mongolia (“COFINANTE DE LATER_ALAMGAC”). El script está diseñado para recuperar un archivo zip con un documento de señuelo, un binario auténtico (“ciscocollabhost.exe”) y un dll astuto (“ciscospoSpoSpoSparklauncher.dll”).
No se sabe exactamente cómo el script MMC se distribuye a objetivos de interés, aunque la naturaleza del documento de señuelo sugiere que puede tener sido a través de una campaña de phishing.
Como se observó en muchos ataques, “Ciscocollabhost.exe” se usa para dejar de revelar la DLL, una puerta trasera intermedia capaz de comunicarse con la infraestructura controlada por los atacantes aprovechando el tesina de servidor de tuberías de código amplio.
La puerta trasera admite capacidades para ejecutar shells de comando, descargar/cargar archivos, enumerar el contenido del directorio, eliminar archivos, crear nuevos procesos y terminarse. Estos comandos se usan para Sideload Mysterysnail Rat.
La última traducción del malware es capaz de aceptar casi 40 comandos, lo que le permite realizar operaciones de distribución de archivos, ejecutar comandos a través de cmd.exe, procesos de desove y matar, cuidar servicios y conectarse a bienes de red a través de módulos DLL dedicados.
Kasperksy dijo que observó a los atacantes dejar caer una “traducción reutilizada y más ligera” de Mysterysnail con nombre en código MysteryMonosnail a posteriori de que las empresas afectadas tomaron acciones afectadas para circunvalar las intrusiones.
“Esta traducción no tiene tantas capacidades como la traducción de MysterySnail Rat”, señaló la compañía. “Estaba programado para tener solo 13 comandos básicos, usados para enumerar el contenido del directorio, escribir datos en archivos y iniciar procesos y shells remotos”.
