Los cazadores de amenazas han descubierto similitudes entre un malware bancario llamado Coyote y un software pillo recientemente revelado denominado Maverick que se ha propagado a través de WhatsApp.
Según un documentación de CyberProof, ambas cepas de malware están escritas en .NET, se dirigen a usuarios y bancos brasileños y presentan una funcionalidad idéntica para descifrar, apuntar a URL bancarias y monitorear aplicaciones bancarias. Más importante aún, los dos incluyen la capacidad de difundirse a través de WhatsApp Web.
Maverick fue documentado por primera vez por Trend Micro a principios del mes pasado, atribuyéndolo a un actor de amenazas denominado Bolsas de agua. La campaña consta de dos componentes: un malware autopropagante denominado SORVEPOTEL que se propaga a través de la interpretación web de escritorio de WhatsApp y se utiliza para entregar un archivo ZIP que contiene la carga útil de Maverick.
El malware está diseñado para monitorear las pestañas activas de las ventanas del navegador en escudriñamiento de URL que coincidan con una registro codificada de instituciones financieras en América Latina. Si las URL coinciden, establece contacto con un servidor remoto para obtener comandos de seguimiento para compendiar información del sistema y informar páginas de phishing para robar credenciales.
La empresa de ciberseguridad Sophos, en un documentación posterior, fue la primera en exponer la posibilidad de si la actividad podría estar relacionada con campañas anteriores que difundieron Coyote dirigidas a usuarios en Brasil y si Maverick es una desarrollo de Coyote. Otro observación de Kaspersky encontró que Maverick contenía muchas superposiciones de código con Coyote, pero señaló que lo está tratando como una amenaza completamente nueva dirigida a Brasil en masa.
Los últimos hallazgos de CyberProof muestran que el archivo ZIP contiene un golpe directo de Windows (LNK) que, cuando lo inicia el agraciado, ejecuta cmd.exe o PowerShell para conectarse a un servidor extranjero (“zapgrande(.)com”) para descargar la carga útil de la primera etapa. El script de PowerShell es capaz de iniciar herramientas intermedias diseñadas para deshabilitar Microsoft Defender Antivirus y UAC, así como recuperar un cargador .NET.
El cargador, por su parte, presenta técnicas antianálisis para repasar la presencia de herramientas de ingeniería inversa y autoterminar si las encuentra. Luego, el cargador procede a descargar los módulos principales del ataque: SORVEPOTEL y Maverick. Vale la pena mencionar aquí que Maverick solo se instala a posteriori de comprobar de que la víctima se encuentre en Brasil verificando la zona horaria, el idioma, la región y el formato de momento y hora del host infectado.
CyberProof dijo que asimismo encontró evidencia de que el malware se estaba utilizando para escoger hoteles en Brasil, lo que indica una posible expansión de los ataques.
La divulgación se produce cuando Trend Micro detalló la nueva prisión de ataque de Water Saci que emplea una infraestructura de comando y control (C2) basada en correo electrónico, se cimiento en la persistencia multivectorial para decano resiliencia e incorpora varias comprobaciones avanzadas para sortear la detección, mejorar el sigilo operante y restringir la ejecución solo a sistemas en idioma portugués.
“La nueva prisión de ataque asimismo cuenta con un sofisticado sistema remoto de comando y control que permite a los actores de amenazas tener la llave de la despensa en tiempo efectivo, incluyendo pausar, reanudar y monitorear la campaña del malware, convirtiendo efectivamente las máquinas infectadas en una útil de botnet para operaciones coordinadas y dinámicas en múltiples puntos finales”, dijo la compañía de ciberseguridad en un documentación publicado a fines del mes pasado.
 |
| Se observa nueva prisión de ataque de Water Saci |
La secuencia de infección evita los binarios .NET en valimiento de Visual Basic Script (VB Script) y PowerShell para secuestrar las sesiones del navegador de WhatsApp y difundir el archivo ZIP a través de la aplicación de transporte. De forma similar a la prisión de ataque mencionado, el secuestro web de WhatsApp se realiza descargando ChromeDriver y Selenium para la automatización del navegador.
El ataque se desencadena cuando un agraciado descarga y extrae el archivo ZIP, que incluye un descargador VBS ofuscado (“Orcamento.vbs”, asimismo conocido como SORVEPOTEL), que, a su vez, emite un comando de PowerShell para descargar y ejecutar un script de PowerShell (“tadeu.ps1”) directamente en la memoria.
Este script de PowerShell se utiliza para tomar el control de la sesión web de WhatsApp de la víctima y distribuir los archivos ZIP maliciosos a todos los contactos asociados con su cuenta, al mismo tiempo que muestra un banner engañoso llamado “WhatsApp Automation v6.0” para ocultar su intención maliciosa. Por otra parte, el script se pone en contacto con un servidor C2 para averiguar plantillas de mensajes y filtrar listas de contactos.
“A posteriori de finalizar cualquier proceso existente de Chrome y borrar las sesiones antiguas para avalar un funcionamiento noble, el malware copia los datos legítimos del perfil de Chrome de la víctima a su espacio de trabajo temporal”, dijo Trend Micro. “Estos datos incluyen cookies, tokens de autenticación y la sesión guardada del navegador”.
 |
| Cronología de la campaña Agua Saci |
“Esta técnica permite que el malware evite por completo la autenticación de WhatsApp Web, obteniendo golpe inmediato a la cuenta de WhatsApp de la víctima sin activar alertas de seguridad ni requerir escaneo de códigos QR”.
El malware, añadió la empresa de ciberseguridad, asimismo implementa un sofisticado mecanismo de control remoto que permite al adversario pausar, reanudar y monitorear la propagación de WhatsApp en tiempo efectivo, convirtiéndolo efectivamente en un malware capaz de controlar los hosts comprometidos como un bot.
En cuanto a cómo distribuye efectivamente el archivo ZIP, el código de PowerShell recorre en iteración cada contacto recopilado y escudriñamiento un comando de pausa antiguamente de dirigir mensajes personalizados sustituyendo variables en la plantilla de mensajes con saludos basados en el tiempo y nombres de contactos.
Otro aspecto importante de SORVEPOTEL es que aprovecha las conexiones IMAP a cuentas de correo electrónico de terra.com(.)br utilizando credenciales de correo electrónico codificadas para conectarse a la cuenta de correo electrónico y recuperar comandos en división de utilizar una comunicación tradicional basada en HTTP. Algunas de estas cuentas se han protegido mediante autenticación multifactor (MFA) para evitar el golpe no competente.
Se dice que esta capa de seguridad adicional introdujo retrasos operativos, ya que cada inicio de sesión requiere que el actor de la amenaza ingrese manualmente un código de autenticación único para ceder a la bandeja de entrada y guarecer la URL del servidor C2 utilizada para dirigir los comandos. Luego, la puerta trasera sondea periódicamente el servidor C2 para obtener la instrucción. La registro de comandos admitidos es la posterior:
- INFO, para compendiar información detallada del sistema.
- CMD, para ejecutar un comando a través de cmd.exe y exportar los resultados de la ejecución a un archivo temporal
- POWERSHELL, para ejecutar un comando de PowerShell
- SCREENSHOT, para tomar capturas de pantalla
- LISTA DE TAREAS, para enumerar todos los procesos en ejecución
- KILL, para terminar un proceso específico
- LIST_FILES, para enumerar archivos/carpetas
- DOWNLOAD_FILE, para descargar archivos del sistema infectado
- UPLOAD_FILE, para cargar archivos al sistema infectado
- ELIMINAR, para eliminar archivos/carpetas específicas
- RENAME, para cambiar el nombre de archivos/carpetas
- COPIAR, para copiar archivos/carpetas
- MOVE, para mover archivos/carpetas
- FILE_INFO, para obtener metadatos detallados sobre un archivo
- BÚSQUEDA, para averiguar recursivamente archivos que coincidan con patrones específicos
- CREATE_FOLDER, para crear carpetas
- REBOOT, para iniciar un reinicio del sistema con un retraso de 30 segundos
- APAGADO, para iniciar un triste del sistema con un retraso de 30 segundos
- ACTUALIZAR, para descargar e instalar una interpretación actualizada de sí mismo
- CHECK_EMAIL, para comprobar el correo electrónico controlado por el atacante en escudriñamiento de nuevas URL C2
La naturaleza generalizada de la campaña está impulsada por la popularidad de WhatsApp en Brasil, que cuenta con más de 148 millones de usuarios activos, lo que lo convierte en el segundo mercado más prócer del mundo a posteriori de India.
“Los métodos de infección y la desarrollo táctica en curso, adyacente con los objetivos centrados en la región, indican que Water Saci probablemente esté vinculado a Coyote, y ambas campañas operan adentro del mismo ecosistema cibercriminal brasileño”, dijo Trend Micro, describiendo a los atacantes como agresivos en “cantidad y calidad”.
“Vincular la campaña Water Saci con Coyote revela un panorama más amplio que muestra un cambio significativo en los métodos de propagación del troyano bancario. Los actores de amenazas han pasado de someterse de cargas bártulos tradicionales a explotar perfiles de navegador y plataformas de transporte legítimos para ataques sigilosos y escalables”.
