Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña titulada JS#contrabandista Se ha observado que los sitios web comprometidos se utilizan como vector de distribución para un troyano de acceso remoto llamado NetSupport RAT.
La cadena de ataque analizada por Securonix incluye tres partes móviles principales: un cargador de JavaScript ofuscado inyectado en un sitio web, una aplicación HTML (HTA) que ejecuta etapas de PowerShell cifradas utilizando mshta.exe y una carga útil de PowerShell diseñada para descargar y ejecutar el malware principal.
“NetSupport RAT permite al atacante un control completo del host de la víctima, incluido el acceso al escritorio remoto, operaciones de archivos, ejecución de comandos, robo de datos y funciones de proxy”, dijeron los investigadores Akshay Gaikwad, Shikha Sangwan y Aaron Beardslee.
En este punto, hay poca evidencia para atribuir la campaña a un grupo o país amenazante conocido. Se descubrió que la actividad se dirigía a usuarios corporativos a través de sitios web comprometidos, lo que indica una operación generalizada.
La empresa de ciberseguridad lo describió como una operación de malware basada en web de varias etapas que aprovecha iframes ocultos, cargadores ofuscados y ejecución de scripts de múltiples capas para la entrega de malware y el control remoto.
En estos ataques, las redirecciones silenciosas integradas en los sitios web infectados actúan como un conducto para un cargador de JavaScript fuertemente cifrado (“phone.js”), que se extrae de un dominio externo y luego perfila el dispositivo para determinar si se debe servir un iframe de pantalla completa (cuando se visita desde un teléfono móvil) o cargar otro script remoto de segunda etapa (cuando se visita desde un escritorio).
El iframe invisible está diseñado para dirigir a la víctima a una URL maliciosa. El cargador de JavaScript tiene un mecanismo de seguimiento para garantizar que la lógica maliciosa se active solo una vez y en la primera visita, minimizando las posibilidades de detección.
“Esta bifurcación que reconoce el dispositivo permite a los atacantes adaptar la ruta de infección, ocultar la actividad maliciosa de entornos específicos y maximizar su tasa de éxito al entregar cargas útiles apropiadas para la plataforma y al mismo tiempo evitar una exposición innecesaria”, dijeron los investigadores.
El script remoto descargado en la primera fase del ataque sienta las bases al crear una URL en tiempo de ejecución desde la cual se descarga y ejecuta una carga útil HTA utilizando mshta.exe. La carga útil HTA es otro cargador para un stager temporal de PowerShell que se escribe en el disco, se descifra y se ejecuta directamente en la memoria para evitar la detección.
Además, el archivo HTA se ejecuta en secreto al desactivar todos los elementos visibles de la ventana y minimizar la aplicación al iniciarse. Una vez que se ejecuta la carga útil descifrada, también toma medidas para eliminar el stager de PowerShell del disco y finaliza para evitar dejar rastros forenses.
El objetivo principal de la carga útil descifrada de PowerShell es obtener e implementar NetSupport RAT, otorgando al atacante un control total del host comprometido.
“La sofisticación y las técnicas de evasión de múltiples capas indican claramente un marco de malware profesional y mantenido activamente”, dijo Securonix. “Los defensores deben emplear una fuerte aplicación de CSP, monitoreo de scripts, registro de PowerShell, restricciones de mshta.exe y análisis de comportamiento para detectar eficazmente dichos ataques”.
CHAMELEON#NET ofrece malware Formbook
La divulgación se produjo semanas después de que la compañía también describiera otra campaña de malspam de varias etapas llamada CHAMELEON#NET que utiliza correos electrónicos de phishing para distribuir Formbook, un registrador de pulsaciones y ladrón de información. El objetivo de los mensajes de correo electrónico es engañar a las víctimas del sector nacional de la seguridad social para que descarguen un archivo aparentemente inofensivo después de iniciar sesión en un portal de correo web falso diseñado para este fin.
“Esta campaña comienza con un correo electrónico de phishing que engaña a los usuarios para que descarguen un archivo .BZ2, lo que desencadena una cadena de infección de varias etapas”, dijo Sangwan. “La carga útil inicial es un archivo JavaScript muy ofuscado que actúa como un cuentagotas y da como resultado la ejecución de un cargador VB.NET complejo. Este cargador utiliza reflexión avanzada y una codificación XOR condicional personalizada para descifrar y ejecutar su carga útil final, el Formbook RAT, completamente en la memoria”.
Específicamente, el cuentagotas de JavaScript decodifica dos archivos JavaScript adicionales y los escribe en el disco duro en el directorio %TEMP%:
- svchost.js, que coloca un ejecutable de carga .NET llamado DarkTortilla (“QNaZg.exe”), un cifrador comúnmente utilizado para distribuir cargas útiles de la siguiente etapa.
- adobe.js, que coloca un archivo llamado PHat.jar, un paquete de instalación MSI que muestra un comportamiento similar a svchost.js.
En esta campaña, el cargador está configurado para descifrar y ejecutar una DLL integrada, el malware Formbook. La persistencia se logra agregándolo a la carpeta de inicio de Windows para garantizar que se inicie automáticamente cuando se reinicie el sistema. Alternativamente, también gestiona la persistencia a través del registro de Windows.
“Los actores de amenazas combinan ingeniería social, una fuerte ofuscación de scripts y técnicas avanzadas de evasión de .NET para comprometer objetivos con éxito”, dijo Securonix. “El uso de una rutina de descifrado personalizada seguida de una carga reflectante permite la ejecución sin archivos de la carga útil final, lo que dificulta significativamente la detección y el análisis forense”.
About The Author
