Investigadores de ciberseguridad han revelado detalles de una nueva campaña que aprovecha una combinación de ingeniería social y secuestro de WhatsApp para distribuir un troyano bancario basado en Delphi llamado Atracador de la gloria como parte de ataques dirigidos a usuarios en Brasil.
“Utiliza el Protocolo de acercamiento a mensajes de Internet (IMAP) para recuperar dinámicamente direcciones de comando y control (C2), lo que permite al actor de amenazas modernizar su servidor C2”, dijeron los investigadores de Trustwave SpiderLabs Nathaniel Morales, John Basmayor y Nikita Kazymirskyi en un desglose técnico de la campaña compartido con The Hacker News.
“Se distribuye a través de una campaña de gusanos de WhatsApp, y el actor ahora implementa un script Python, un cambio respecto de los scripts anteriores basados en PowerShell para secuestrar WhatsApp y difundir archivos adjuntos maliciosos.
Los hallazgos llegan inmediatamente luego de otra campaña denominada Water Saci que se ha dirigido a usuarios brasileños con un reptil que se propaga a través de WhatsApp Web conocido como SORVEPOTEL, que luego actúa como un conducto para Maverick, un troyano bancario .NET que se considera una desarrollo de un malware bancario .NET denominado Coyote.
El corro Eternidade Stealer es parte de una actividad más amplia que ha abusado de la omnipresencia de WhatsApp en el país sudamericano para comprometer los sistemas de las víctimas y utilizar la aplicación de transporte como vector de propagación para exhalar ataques a gran escalera contra instituciones brasileñas.
Otra tendencia extraordinario es la preferencia continua por el malware basado en Delphi por parte de los actores de amenazas dirigidos a América Latina, impulsada en gran medida no solo por su eficiencia técnica sino igualmente por el hecho de que el estilo de programación se enseñó y utilizó en el exposición de software en la región.
El punto de partida del ataque es un script de Visual Basic ofuscado, que incluye comentarios escritos principalmente en portugués. El script, una vez ejecutado, suelta un script por lotes que es responsable de entregar dos cargas bártulos, bifurcando efectivamente la prisión de infección en dos:
- Un script de Python que activa la diseminación del malware a través de la web de WhatsApp en forma de reptil.
- Un instalador MSI que utiliza un script AutoIt para iniciar Eternidade Stealer
El script Python, similar a SORVEPOTEL, establece comunicación con un servidor remoto y aprovecha el plan de código descubierto WPPConnect para automatizar el pedido de mensajes en cuentas secuestradas a través de WhatsApp. Para hacer esto, recopila toda la tira de contactos de la víctima, mientras filtra grupos, contactos comerciales y listas de difusión.
Luego, el malware procede a capturar, para cada contacto, su número de teléfono de WhatsApp, nombre e información que indica si es un contacto guardado. Esta información se envía al servidor controlado por el atacante a través de una solicitud HTTP POST. En la etapa final, se envía un archivo adjunto receloso a todos los contactos en forma de archivo adjunto receloso haciendo uso de una plantilla de transporte y completando ciertos campos con saludos basados en la hora y nombres de contactos.
La segunda etapa del ataque comienza cuando el instalador de MSI aguijada varias cargas bártulos, incluido un script AutoIt que verifica si el sistema comprometido está basado en Brasil al inspeccionar si el idioma del sistema activo es el portugués brasileño. De lo contrario, el malware termina automáticamente. Esto indica un esfuerzo de focalización hiperlocalizado por parte de los actores de amenazas.
Luego, el script escanea los procesos en ejecución y las claves de registro para determinar la presencia de productos de seguridad instalados. Incluso perfila la máquina y envía los detalles a un servidor de comando y control (C2). El ataque culmina cuando el malware inyecta la carga útil de Eternidade Stealer en “svchost.exe” mediante el proceso de vaciado.
Eternidade, un caco de credenciales basado en Delphi, escanea continuamente ventanas activas y procesos en ejecución en investigación de cadenas relacionadas con portales bancarios, servicios de cuota e intercambios y billeteras de criptomonedas, como Bradesco, BTG Pactual, MercadoPago, Stripe, Binance, Coinbase, MetaMask y Trust Wallet, entre otros.
“Tal comportamiento refleja una táctica clásica bancaria o de caco de superposiciones, donde los componentes maliciosos permanecen inactivos hasta que la víctima abre una aplicación bancaria o de billetera específica, asegurando que el ataque se desencadene solo en contextos relevantes y permanezca invisible para los usuarios ocasionales o entornos sandbox”, dijeron los investigadores.
Una vez que se encuentra una coincidencia, se pone en contacto con un servidor C2, cuyos detalles se obtienen de una bandeja de entrada vinculada a una dirección de correo electrónico terra.com(.)br, reflejando una táctica adoptada recientemente por Water Saci. Esto permite a los actores de amenazas modernizar su C2, permanecer la persistencia y sortear detecciones o eliminaciones. En caso de que el malware no pueda conectarse a la cuenta de correo electrónico utilizando credenciales codificadas, utiliza una dirección C2 alternativa incrustada en el código fuente.
Tan pronto como se establece una conexión exitosa con el servidor, el malware prórroga los mensajes entrantes que luego se procesan y ejecutan en los hosts infectados, lo que permite a los atacantes registrar pulsaciones de teclas, realizar capturas de pantalla y robar archivos. Algunos de los comandos notables se enumeran a continuación:
- para compilar información del sistema.
- para monitorear la actividad del becario e informar la ventana actualmente activa
- para destinar una superposición personalizada para el robo de credenciales basada en la ventana activa
Trustwave dijo que un exploración de la infraestructura de los actores de amenazas condujo al descubrimiento de dos paneles, uno para llevar la batuta el sistema Redirector y otro panel de inicio de sesión, probablemente utilizado para monitorear los hosts infectados. El sistema Redirector contiene registros que muestran el número total de visitas y bloqueos de conexiones que intentan resistir a la dirección C2.
Si acertadamente el sistema sólo permite el acercamiento a máquinas ubicadas en Brasil y Argentina, las conexiones bloqueadas se redirigen a “google(.)com/error”. Las estadísticas registradas en el panel muestran que 452 de 454 visitas fueron bloqueadas correcto a las restricciones de geocerca. Se dice que sólo las dos visitas restantes fueron redirigidas al dominio objetivo de la campaña.
De los 454 registros de comunicaciones, 196 conexiones se originaron en EE. UU., seguido de los Países Bajos (37), Alemania (32), el Reino Unido (23), Francia (19) y Brasil (3). El sistema activo Windows contabilizó 115 conexiones, aunque los datos del panel indican que igualmente procedieron de macOS (94), Linux (45) y Android (18).
“Aunque la comunidad de malware y los vectores de distribución son principalmente brasileños, la posible huella operativa y la exposición de las víctimas son mucho más globales”, afirmó Trustwave. “Los defensores de la ciberseguridad deben permanecer atentos a actividades sospechosas en WhatsApp, ejecuciones inesperadas de MSI o scripts e indicadores vinculados a esta campaña en curso”.
