Los investigadores de ciberseguridad llaman la atención sobre una nueva campaña denominada JS#contrabandista Esto se ha observado aprovechando sitios web comprometidos como vector de distribución para un troyano de golpe remoto llamado NetSupport RAT.
La prisión de ataque, analizada por Securonix, involucra tres partes móviles principales: un cargador de JavaScript ofuscado inyectado en un sitio web, una aplicación HTML (HTA) que ejecuta etapas de PowerShell cifradas usando “mshta.exe” y una carga útil de PowerShell diseñada para descargar y ejecutar el malware principal.
“NetSupport RAT permite al atacante un control total sobre el host de la víctima, incluido el golpe al escritorio remoto, operaciones de archivos, ejecución de comandos, robo de datos y capacidades de proxy”, dijeron los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee.
Hay poca evidencia en esta etapa para vincular la campaña con algún camarilla o país amenazador conocido. Se ha descubierto que la actividad se dirige a usuarios empresariales a través de sitios web comprometidos, lo que indica un esfuerzo amplio.
La empresa de ciberseguridad lo describió como una operación de malware basada en web de varias etapas que emplea iframes ocultos, cargadores ofuscados y ejecución de scripts en capas para la implementación de malware y el control remoto.
En estos ataques, las redirecciones silenciosas integradas en los sitios web infectados actúan como un conducto para un cargador de JavaScript muy codificado (“phone.js”) recuperado de un dominio foráneo, que luego perfila el dispositivo para determinar si debe servir un iframe de pantalla completa (cuando se encuentro desde un teléfono móvil) o cargar otro script remoto de segunda etapa (cuando se encuentro desde un escritorio).
El iframe invisible está diseñado para dirigir a la víctima a una URL maliciosa. El cargador de JavaScript incorpora un mecanismo de seguimiento para asegurar que la deducción maliciosa se active solo una vez y durante la primera encuentro, minimizando así las posibilidades de detección.
“Esta ramificación con agradecimiento de dispositivo permite a los atacantes adaptar la ruta de infección, ocultar la actividad maliciosa de ciertos entornos y maximizar su tasa de éxito al entregar cargas aperos apropiadas para la plataforma y al mismo tiempo evitar una exposición innecesaria”, dijeron los investigadores.
El script remoto descargado en la primera etapa del ataque sienta las bases al construir en tiempo de ejecución una URL desde la cual se descarga y ejecuta una carga útil HTA usando “mshta.exe”. La carga útil HTA es otro cargador para un stager temporal de PowerShell, que se escribe en el disco, se descifra y se ejecuta directamente en la memoria para esquivar la detección.
Encima, el archivo HTA se ejecuta de forma sigilosa desactivando todos los instrumentos visibles de la ventana y minimizando la aplicación al inicio. Una vez que se ejecuta la carga útil descifrada, además toma medidas para eliminar el stager de PowerShell del disco y finaliza para evitar dejar tanto vestigio forense como sea posible.
El objetivo principal de la carga útil descifrada de PowerShell es recuperar e implementar NetSupport RAT, otorgando al atacante control total sobre el host comprometido.
“La sofisticación y las técnicas de diversión en capas indican claramente un situación de malware de nivel profesional mantenido activamente”, dijo Securonix. “Los defensores deben implementar una resistente aplicación de CSP, monitoreo de scripts, registro de PowerShell, restricciones de mshta.exe y examen de comportamiento para detectar dichos ataques de forma efectiva”.
CHAMELEON#NET ofrece malware Formbook
La divulgación se produce semanas a posteriori de que la compañía además detallara otra campaña de malspam de varias etapas denominada CHAMELEON#NET que utiliza correos electrónicos de phishing para entregar Formbook, un registrador de pulsaciones y carterista de información. Los mensajes de correo electrónico tienen como objetivo atraer a las víctimas del Sector Doméstico de la Seguridad Social para que descarguen un archivo aparentemente inofensivo a posteriori de sus credenciales en un portal de correo web inexacto diseñado para este propósito.
“Esta campaña comienza con un correo electrónico de phishing que engaña a los usuarios para que descarguen un archivo .BZ2, iniciando una prisión de infección de varias etapas”, dijo Sangwan. “La carga útil auténtico es un archivo JavaScript muy ofuscado que actúa como un cuentagotas, lo que lleva a la ejecución de un cargador VB.NET complicado. Este cargador utiliza advertencia destacamento y un oculto XOR condicional personalizado para descifrar y ejecutar su carga útil final, el Formbook RAT, completamente en la memoria”.
Específicamente, el cuentagotas de JavaScript decodifica y escribe en el disco en el directorio %TEMP% dos archivos JavaScript adicionales:
- svchost.js, que descarga un ejecutable del cargador .NET denominado DarkTortilla (“QNaZg.exe”), un cifrador que se utiliza a menudo para distribuir cargas aperos de la posterior etapa.
- adobe.js, que coloca un archivo llamado “PHat.jar”, un paquete de instalación MSI que muestra un comportamiento similar al de “svchost.js”.
En esta campaña, el cargador está configurado para descifrar y ejecutar una DLL integrada, el malware Formbook. La persistencia se logra agregándolo a la carpeta de inicio de Windows para asegurar que se inicie automáticamente al reiniciar el sistema. Alternativamente, además gestiona la persistencia a través del Registro de Windows.
“Los actores de amenazas combinan ingeniería social, gran ofuscación de scripts y técnicas avanzadas de diversión de .NET para comprometer objetivos con éxito”, dijo Securonix. “El uso de una rutina de descifrado personalizada seguida de una carga reflectante permite que la carga útil final se ejecute sin archivos, lo que complica significativamente la detección y el examen forense”.
