Investigadores de ciberseguridad han revelado detalles de una nueva campaña ClickFix que abusa de sitios legítimos comprometidos para entregar un troyano de acercamiento remoto (RAT) previamente indocumentado llamado MIMICRATA (todavía conocido como AstarionRAT).
“La campaña demuestra un suspensión nivel de sofisticación operativa: los sitios comprometidos que abarcan múltiples industrias y geografías sirven como infraestructura de entrega, una prisión PowerShell de múltiples etapas realiza una derivación ETW y AMSI antaño de soltar un cargador de shellcode con script Lua, y el implante final se comunica a través de HTTPS en el puerto 443 usando perfiles HTTP que se asemejan al tráfico de estudio web probado”, dijo Elastic Security Labs en un noticia del viernes.
Según la empresa de ciberseguridad y búsqueda empresarial, MIMICRAT es una RAT C++ personalizada con soporte para suplantación de tokens de Windows, tunelización SOCKS5 y un conjunto de 22 comandos para capacidades integrales posteriores a la explotación. La campaña fue descubierta a principios de este mes.
Todavía se evalúa que comparte superposiciones tácticas y de infraestructura con otra campaña ClickFix documentada por Huntress que conduce al despliegue del cargador Matanbuchus 3.0, que luego sirve como conducto para el mismo RAT. Se sospecha que el objetivo final del ataque es la implementación de ransomware o la filtración de datos.
En la secuencia de infección resaltada por Elastic, el punto de entrada es bincheck(.)io, un servicio de acometividad de número de identificación bancaria (BIN) probado que fue violado para inyectar código JavaScript ladino responsable de cargar un script PHP alojado externamente. Luego, el script PHP procede a entregar el señuelo ClickFix mostrando una página de demostración de Cloudflare falsa e indicando a la víctima que copie y pegue un comando en el cuadro de diálogo Ejecutar de Windows para solucionar el problema.
Esto, a su vez, conduce a la ejecución de un comando de PowerShell, que luego contacta a un servidor de comando y control (C2) para obtener un script de PowerShell de segunda etapa que parchea el registro de eventos de Windows (ETW) y el escaneo antivirus (AMSI) antaño de descartar un cargador basado en Lua. En la etapa final, el script Lua descifra y ejecuta en la memoria el código shell que entrega MIMICRAT.
El troyano utiliza HTTPS para comunicarse con el servidor C2, lo que le permite aceptar dos docenas de comandos para el control de procesos y sistemas de archivos, acercamiento interactivo al shell, manipulación de tokens, inyección de shellcode y tunelización de proxy SOCKS.
“La campaña admite 17 idiomas, y el contenido del señuelo se localiza dinámicamente en función de la configuración de idioma del navegador de la víctima para ampliar su talento efectivo”, dijo el investigador de seguridad Salim Bitam. “Las víctimas identificadas abarcan múltiples geografías, incluida una universidad con sede en EE. UU. y múltiples usuarios de acento china documentados en debates en foros públicos, lo que sugiere un amplio objetivo oportunista”.
