Investigadores de ciberseguridad han revelado detalles de una campaña de malware de varias etapas que utiliza secuencias de comandos por lotes como vía para entregar varias cargas bártulos de troyanos de paso remoto (RAT) cifrados que corresponden a XWorm, AsyncRAT y Xeno RAT.
La condena de ataque sigiloso ha recibido un nombre en esencia VACÍO#ESPÍRITU por Securonix Threat Research.
En un nivel stop, el script por lotes ofuscado se utiliza para implementar un segundo script por lotes, preparar un tiempo de ejecución Python incorporado lícito y descifrar blobs de código shell cifrados, que se ejecutan directamente en la memoria inyectándolos en instancias separadas de “explorer.exe” usando una técnica señal inyección de señal a procedimiento asincrónico (APC) Early Bird.
“Las campañas de malware modernas pasan cada vez más de ejecutables independientes a marcos de entrega complejos basados en scripts que imitan fielmente la actividad legítima de los usuarios”, dijeron los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee en un documentación técnico compartido con The Hacker News.
“En espacio de implementar binarios de PE tradicionales, los atacantes aprovechan canales modulares que comprenden secuencias de comandos por lotes para la orquestación, PowerShell para una puesta en estampa sigilosa, tiempos de ejecución incorporados legítimos para la portabilidad y código shell sin procesar ejecutado directamente en la memoria para persistencia y control”.
Este mecanismo de ejecución sin archivos minimiza las oportunidades de detección basadas en disco, lo que permite a los actores de amenazas negociar internamente de sistemas comprometidos sin activar alertas de seguridad. Es más, este enfoque ofrece una delantera adicional en el sentido de que estas etapas individuales parecen inofensivas de forma aislada y se asemejan a una actividad administrativa ordinario.
El punto de partida del ataque es un script por lotes que se obtiene de un dominio de TryCloudflare y se distribuye a través de correos electrónicos de phishing. Una vez arrojado, evita deliberadamente tomar medidas para prosperar privilegios y aprovecha los derechos de permiso del beneficiario actualmente conectado para establecer un punto de apoyo original, mientras se mezcla con operaciones administrativas aparentemente inocuas.
La etapa original sirve como plataforma de divulgación para mostrar un PDF señuelo al iniciar Google Chrome en pantalla completa. El documento financiero o la recibo mostrados sirven como distracción visual para ocultar lo que sucede detrás de estampa. Esto incluye iniciar un comando de PowerShell para retornar a ejecutar el script por lotes innovador, como usar el parámetro -WindowStyle Hidden, para evitar mostrar una ventana de consola.
Para asegurar la persistencia entre reinicios del sistema, se coloca un script por lotes auxiliar en el directorio de inicio del beneficiario de Windows para que se ejecute automáticamente cada vez que la víctima inicia sesión en el sistema. La desaparición de métodos de persistencia más intrusivos es intencionada, ya que reduce la huella forense.
“Técnicamente, este método de persistencia opera completamente internamente del contexto de privilegios del beneficiario contemporáneo. No modifica las claves de registro de todo el sistema, no crea tareas programadas ni instala servicios”, dijeron los investigadores. “En cambio, se apoyo en un comportamiento de inicio típico a nivel de beneficiario, que no requiere elevación y genera una fricción de seguridad mínima. Esta opción de diseño reduce la probabilidad de activar mensajes de subida de privilegios o alertas de monitoreo de registro”.
La subsiguiente grado comienza cuando el malware llega a un dominio de TryCloudflare para recuperar cargas bártulos adicionales en forma de archivos ZIP que contienen varios archivos.
- runn.pyun script de carga basado en Python responsable de descifrar e inyectar módulos de carga útil de shellcode cifrados en la memoria
- nuevo.binuna carga útil de shellcode cifrada correspondiente a XWorm
- xn.binuna carga útil de shellcode cifrada correspondiente a Xeno RAT
- pul. papelerauna carga útil de shellcode cifrada correspondiente a AsyncRAT
- a.json, n.json, y p.jsonarchivos de claves que contienen las claves de descifrado requeridas por el cargador de Python para descifrar dinámicamente el código shell en tiempo de ejecución
Una vez que se extraen los archivos, la secuencia de ataque implementa un tiempo de ejecución de Python incorporado lícito directamente desde python(.)org. Este paso ofrece varias ventajas. Para nacer, elimina cualquier dependencia del sistema. Como resultado, el malware puede seguir funcionando incluso si el punto final infectado tiene Python instalado.
“Desde la perspectiva del atacante, los objetivos de esta etapa son la portabilidad, la confiabilidad y el sigilo”, dijo Securonix. “Al incorporar un intérprete lícito en el directorio de preparación, el malware se transforma en un entorno de ejecución totalmente autónomo capaz de descifrar e inyectar módulos de carga útil sin acatar de componentes externos del sistema”.
El objetivo principal del ataque es servirse el tiempo de ejecución de Python para iniciar “runn.py”, que luego descifra y ejecuta la carga útil de XWorm mediante la inyección Early Bird APC. El malware todavía utiliza un binario lícito de Microsoft, “AppInstallerPythonRedirector.exe”, para invocar Python e iniciar Xeno RAT. En la última etapa, el cargador de Python utiliza el mismo mecanismo de inyección para iniciar AsyncRAT.
La condena de infección culmina cuando el malware transmite una baliza HTTP mínima a la infraestructura C2 controlada por el atacante alojada en TryCloudflare para confirmar la irrupción digital. Actualmente no se sabe quiénes fueron los objetivos del ataque y si hubo algún compromiso exitoso.
“Este patrón de inyección repetida refuerza la edificio modular del entorno. En espacio de entregar una única carga útil monolítica, el atacante implementa componentes de forma incremental, mejorando la flexibilidad y la resistor”, dijo Securonix. “Desde el punto de panorama de la detección, la inyección repetida de procesos en explorer.exe en periodos cortos de tiempo es un musculoso indicador de comportamiento que se correlaciona entre las etapas del ataque”.
