Los cazadores de amenazas han descubierto similitudes entre un malware bancario llamado Coyote y un malware recientemente descubierto llamado Maverick que se distribuía a través de WhatsApp.
Según un informe de CyberProof, ambas cepas de malware están escritas en .NET, se dirigen a usuarios y bancos brasileños y tienen capacidades idénticas para descifrar, atacar URL de bancos y monitorear aplicaciones bancarias. Más importante aún, ambos ofrecen la posibilidad de difundirse a través de WhatsApp Web.
Maverick fue documentado por primera vez por Trend Micro a principios del mes pasado y atribuido a un supuesto actor de amenazas. Saci de agua. La campaña incluye dos componentes: un malware autopropagante llamado SORVEPOTEL, distribuido a través de la versión web de escritorio de WhatsApp y utilizado para entregar un archivo ZIP que contiene la carga útil de Maverick.
El malware está diseñado para monitorear las pestañas activas de las ventanas del navegador en busca de URL que coincidan con una lista codificada de instituciones financieras en América Latina. Si las URL coinciden, se comunica con un servidor remoto para recuperar comandos de seguimiento, recopilar información del sistema y entregar páginas de phishing para robar credenciales.
La empresa de ciberseguridad Sophos, en un informe posterior, fue la primera en plantear la posibilidad de si la actividad podría estar relacionada con campañas previamente informadas que difunden Coyote y se dirigen a usuarios en Brasil, y si Maverick era una evolución de Coyote. Un análisis más detallado de Kaspersky encontró que, si bien Maverick contenía muchos códigos superpuestos con Coyote, la firma rusa de ciberseguridad señaló que lo está tratando como una amenaza completamente nueva que apunta a Brasil en masa.
Los últimos hallazgos de CyberProof muestran que el archivo ZIP contiene un acceso directo de Windows (LNK) que, cuando lo inicia el usuario, ejecuta cmd.exe o PowerShell para conectarse a un servidor externo (“zapgrande(.)com”) y descargar la carga útil de la primera etapa. El script de PowerShell puede iniciar herramientas intermedias diseñadas para deshabilitar Microsoft Defender Antivirus y UAC, así como obtener un cargador .NET.
El cargador, por su parte, dispone de técnicas antianálisis para comprobar la presencia de herramientas de ingeniería inversa y finalizarse si se detecta. Luego, el cargador descarga los módulos principales del ataque: SORVEPOTEL y Maverick. Lo que vale la pena mencionar aquí es que Maverick se instala solo después de asegurarse de que la víctima se encuentre en Brasil verificando la zona horaria, el idioma, la región y el formato de fecha y hora del host infectado.
CyberProof dijo que también encontró evidencia de que el malware se usó para identificar específicamente hoteles en Brasil, lo que sugiere una posible expansión de los ataques.
La divulgación se produce cuando Trend Micro detalla la nueva cadena de ataque de Water Saci, que aprovecha una infraestructura de comando y control (C2) basada en correo electrónico, se basa en la persistencia multivectorial para lograr resiliencia e incluye varias comprobaciones avanzadas para evadir la detección, mejorar el sigilo operativo y limitar la ejecución a sistemas exclusivos en portugués.
“La nueva cadena de ataque también presenta un sofisticado sistema de comando y control remoto que permite a los actores de amenazas administrar en tiempo real, incluyendo pausar, reanudar y monitorear la campaña de malware, convirtiendo efectivamente las máquinas infectadas en una herramienta de botnet para operaciones coordinadas y dinámicas en múltiples puntos finales”, dijo la firma de ciberseguridad en un informe publicado a fines del mes pasado.
 |
| Se observa nueva cadena de ataque de Water Saci |
La secuencia de infección prescinde de los archivos binarios .NET y, en cambio, se basa en Visual Basic Script (VB Script) y PowerShell para secuestrar las sesiones del navegador de WhatsApp y distribuir el archivo ZIP a través de la aplicación de mensajería. Al igual que en la cadena de ataque anterior, el secuestro web de WhatsApp se lleva a cabo descargando ChromeDriver y Selenium para la automatización del navegador.
El ataque se desencadena cuando un usuario descarga y descomprime el archivo ZIP, que contiene un descargador VBS ofuscado (“Orcamento.vbs”, también conocido como SORVEPOTEL), que a su vez emite un comando de PowerShell para descargar y ejecutar un script de PowerShell (“tadeu.ps1”) directamente en la memoria.
Este script de PowerShell se utiliza para tomar el control de la sesión web de WhatsApp de la víctima y distribuir los archivos ZIP maliciosos a todos los contactos asociados con su cuenta. Al mismo tiempo, se muestra un banner engañoso con el nombre “WhatsApp Automation v6.0” para ocultar la intención maliciosa. Además, el script se pone en contacto con un servidor C2 para recuperar plantillas de mensajes y filtrar listas de contactos.
“Después de finalizar todos los procesos existentes de Chrome y eliminar sesiones antiguas para garantizar un funcionamiento limpio, el malware copia los datos legítimos del perfil de Chrome de la víctima en su espacio de trabajo temporal”, dijo Trend Micro. “Estos datos incluyen cookies, tokens de autenticación y la sesión guardada del navegador”.
 |
| Cronología de la campaña Agua Saci |
“Esta técnica permite que el malware evite por completo la autenticación web de WhatsApp y obtenga acceso instantáneo a la cuenta de WhatsApp de la víctima sin activar alertas de seguridad ni requerir un escaneo de código QR”.
El malware, añadió la firma de ciberseguridad, también implementa un sofisticado mecanismo de control remoto que permite al atacante pausar, reanudar y monitorear la distribución de WhatsApp en tiempo real, convirtiéndolo efectivamente en malware que puede controlar los hosts vulnerables como un bot.
En cuanto a la distribución real del archivo ZIP, el código de PowerShell recorre cada contacto recopilado y busca un comando de pausa antes de enviar mensajes personalizados reemplazando variables en la plantilla de mensajes con saludos basados en tiempo y nombres de contactos.
Otro aspecto importante de SORVEPOTEL es que aprovecha las conexiones IMAP a cuentas de correo electrónico de terra.com(.)br, utilizando credenciales de correo electrónico codificadas para conectarse a la cuenta de correo electrónico y recuperar comandos, en lugar de utilizar la comunicación tradicional basada en HTTP. Algunas de estas cuentas se han protegido mediante autenticación multifactor (MFA) para evitar el acceso no autorizado.
Se dice que esta capa adicional de seguridad ha causado retrasos operativos, ya que el actor de la amenaza debe ingresar manualmente un código de autenticación único cada vez que inicia sesión para acceder a la bandeja de entrada y almacenar la URL del servidor C2 utilizada para enviar los comandos. Luego, la puerta trasera sondea periódicamente el servidor C2 para recuperar las instrucciones. La lista de comandos admitidos es la siguiente:
- INFO para recopilar información detallada del sistema
- CMD para ejecutar un comando a través de cmd.exe y exportar los resultados de la ejecución a un archivo temporal
- POWERSHELL para ejecutar un comando de PowerShell
- CAPTURA DE PANTALLA para tomar capturas de pantalla
- LISTA DE TAREAS para enumerar todos los procesos en ejecución
- KILL para matar un proceso específico
- LIST_FILES para enumerar archivos/carpetas
- DOWNLOAD_FILE para descargar archivos del sistema infectado
- UPLOAD_FILE para cargar archivos al sistema infectado
- ELIMINAR para eliminar archivos/carpetas específicas
- RENAME para cambiar el nombre de archivos/carpetas
- COPIAR para copiar archivos/carpetas
- MOVE para mover archivos/carpetas
- FILE_INFO para obtener metadatos detallados sobre un archivo
- BÚSQUEDA para buscar recursivamente archivos que coincidan con patrones específicos
- CREATE_FOLDER para crear carpetas
- REBOOT para iniciar un reinicio del sistema con un retraso de 30 segundos
- APAGADO para iniciar el apagado del sistema con un retraso de 30 segundos
- ACTUALIZAR para descargar e instalar una versión actualizada de usted mismo
- CHECK_EMAIL para comprobar el correo electrónico controlado por el atacante en busca de nuevas URL C2
La difusión de la campaña está impulsada por la popularidad de WhatsApp en Brasil, que cuenta con más de 148 millones de usuarios activos, lo que lo convierte en el segundo mercado más grande del mundo después de India.
“Los métodos de infección y el desarrollo táctico en curso, así como los objetivos centrados en la región, sugieren que Water Saci probablemente esté vinculado a Coyote y que ambas campañas operan en el mismo ecosistema de cibercrimen brasileño”, dijo Trend Micro, describiendo a los atacantes como “cuantitativa y cualitativamente” agresivos.
“Vincular la campaña Water Saci con Coyote presenta un panorama general que muestra un cambio significativo en los métodos de distribución del troyano bancario. Los actores de amenazas han pasado del uso de cargas útiles tradicionales a la explotación de perfiles de navegador y plataformas de mensajería legítimos para ataques sigilosos y escalables”.
About The Author
