Se ha observado un nuevo ataque de varias etapas que ofrece familias de malware como las variantes del agente Tesla, REMCOS RAT y XLOGER.
«Los atacantes confían cada vez más en mecanismos de entrega tan complejos para escamotear la detección, evitar los sandboxes tradicionales y asegurar la entrega y ejecución exitosas de la carga útil», dijo el investigador 42 del investigador Saqib Khanzada en una redacción técnica de la campaña.
El punto de partida del ataque es un correo electrónico engañoso que plantea una solicitud de pedido para entregar un archivo de archivo astuto de 7 ZIP, que contiene un archivo JavaScript codificado (.JSE).
El correo electrónico de phishing, observado en diciembre de 2024, afirmó falsamente que se había realizado un plazo e instó al destinatario a revisar un archivo de pedido adjunto. El tiro de la carga útil de JavaScript desencadena la secuencia de infección, con el archivo que actúa como un descargador para un script PowerShell desde un servidor forastero.
El script, a su vez, alberga una carga útil codificada de Base64 que después se descifró, escrita en el directorio temporal de Windows y se ejecuta. Aquí es donde sucede poco interesante: el ataque conduce a un dosificador de próxima etapa que se compila usando .NET o Autoit.
En el caso de un ejecutable de .NET, la carga útil incrustada incrustada, una reforma de agente Tesla sospechada de serpiente keylogger o xloader, está decodificada e inyectada en un proceso «regasma.exe» en ejecución, una técnica observada en las campañas de Tesla del agente antedicho.
El Autoit compilado ejecutable, por otro costado, introduce una capa adicional en un intento de complicar aún más los esfuerzos de observación. El script Autoit en el interior del ejecutable incorpora una carga útil encriptada responsable de cargar el código de shell -Code final, lo que hace que el archivo .NET se inyecte en un proceso «regsvcs.exe», que finalmente lleva a la implementación del agente Tesla.
«Esto sugiere que el atacante emplea múltiples rutas de ejecución para aumentar la resiliencia y escamotear la detección», señaló Khanzada. «El enfoque del atacante permanece en una dependencia de ataque de varias capas en espacio de una ofuscación sofisticada».
«Al apilar etapas simples en espacio de centrarse en técnicas en extremo sofisticadas, los atacantes pueden crear cadenas de ataque resistentes que complicen el observación y la detección».
Ironhusky ofrece una nueva interpretación de MysterSynail Rat
La divulgación se produce cuando Kaspersky detalló una campaña que se dirige a las organizaciones gubernamentales ubicadas en Mongolia y Rusia con una nueva interpretación de un malware llamado MysterySnail Rat. La actividad se ha atribuido a un actor de amenaza de palabra china denominada Ironhusky.
Ironhusky, evaluado como activo desde al menos 2017, fue documentado anteriormente por la Russian CyberseCurity Company en octubre de 2021 en relación con la explotación del día cero de CVE-2021-40449, un defecto de subida de privilegio Win32k, para entregar MysterySnail.
Las infecciones se originan en un script de consola de mandato de Microsoft (MMC) astuto que imita un documento de Word de la Agencia Doméstico de Tierras de Mongolia («COFINANTE DE LATER_ALAMGAC»). El script está diseñado para recuperar un archivo zip con un documento de señuelo, un binario probado («ciscocollabhost.exe») y un dll astuto («ciscospoSpoSpoSparklauncher.dll»).
No se sabe exactamente cómo el script MMC se distribuye a objetivos de interés, aunque la naturaleza del documento de señuelo sugiere que puede activo sido a través de una campaña de phishing.
Como se observó en muchos ataques, «Ciscocollabhost.exe» se usa para dejar de revelar la DLL, una puerta trasera intermedia capaz de comunicarse con la infraestructura controlada por los atacantes aprovechando el esquema de servidor de tuberías de código franco.
La puerta trasera admite capacidades para ejecutar shells de comando, descargar/cargar archivos, enumerar el contenido del directorio, eliminar archivos, crear nuevos procesos y terminarse. Estos comandos se usan para Sideload Mysterysnail Rat.
La última interpretación del malware es capaz de aceptar casi 40 comandos, lo que le permite realizar operaciones de agencia de archivos, ejecutar comandos a través de cmd.exe, procesos de desove y matar, llevar la batuta servicios y conectarse a fortuna de red a través de módulos DLL dedicados.
Kasperksy dijo que observó a los atacantes dejar caer una «interpretación reutilizada y más ligera» de Mysterysnail con nombre en código MysteryMonosnail posteriormente de que las empresas afectadas tomaron acciones afectadas para encerrar las intrusiones.
«Esta interpretación no tiene tantas capacidades como la interpretación de MysterySnail Rat», señaló la compañía. «Estaba programado para tener solo 13 comandos básicos, usados para enumerar el contenido del directorio, escribir datos en archivos y iniciar procesos y shells remotos».
