Los investigadores de ciberseguridad han revelado detalles de una campaña de phishing que ofrece un sigiloso malware bancario convertido en un camino de camino remoto Tía.
El ataque de phishing incorpora una serie de técnicas de distracción avanzadilla para obtener un control completo sobre los sistemas comprometidos, los datos sensibles al sifón y extender su funcionalidad al servir complementos secundarios, dijo Fortinet Fortiguard Labs.
«Estos incluyen el uso de un habla de programación casquivana (EPL) para desarrollar una carga útil escenificada, ocultar operaciones maliciosas y deshabilitar las herramientas de seguridad para evitar desencadenantes de alerta, afianzar las comunicaciones de comandos y controles (C2) utilizando TLS mutuos (MTL), admitiendo varios métodos para implementar la carga adicional de la carga adicional e incluso instalar herramientas de camino remotas populares», dijo yurren Wan.
EPL es un habla de programación visual equívoco que admite variantes tradicionales chinos, simplificados chinos, ingleses y japoneses. Está destinado principalmente a usuarios que pueden no ser competentes en inglés.
Los correos electrónicos, que están diseñados principalmente para dirigirse a los usuarios japoneses, aprovechan los señuelos relacionados con las consultas comerciales para engañar a los destinatarios para que haga clic en enlaces maliciosos que los llevan a un sitio infectado para descargar un documento atrapado en Booby: un archivo de Microsoft Word que incorpora un archivo de zip.
Presente adentro del archivo ZIP hay un ejecutable que, a su vez, desencadena la ejecución de Mostererat, que luego se usa para eliminar varias herramientas como AnyDesk, TigervNC y TTROVNC usando módulos escritos en EPL. Un aspecto trascendente del malware es su capacidad para deshabilitar los mecanismos de seguridad de Windows y cortar el tráfico de redes asociado con una cinta codificada de programas de seguridad, lo que le permite detectar la detección.
«Esta técnica de retiro de tráfico se asemeja a la de la aparejo de equipo rojo conocida ‘Edrsilencer’, que utiliza filtros de plataforma de filtrado de Windows (WFP) en múltiples etapas de la pila de comunicación de red, evitando que se conecte efectivamente a sus servidores y transmitir datos de detección, alertas, registros de eventos u otra telemetría», dijo Wan.
Otra es su capacidad para ejecutarse como TrustedInstaller, una cuenta de sistema Windows incorporada con permisos elevados, lo que le permite interferir con los procesos críticos de Windows, modificar las entradas del registro de Windows y eliminar archivos del sistema.
Adicionalmente, uno de los módulos implementados por Mostererat está equipado para monitorear la actividad de la ventana de primer plano asociada con la aparejo de mercader de Qianniu – Alibaba, registro de teclas de registro, destinar señales de corazón a un servidor extranjero y comandos de procesos emitidos por el servidor.
Los comandos le permiten compilar detalles del host de víctimas, ejecutar archivos DLL, EPK o EXE, cargar archivos de shellcode, repasar/escribir/eliminar, descargar e inyectar un exe a svchost.exe utilizando inyección de pájaros temprano, enumerar a los usuarios, capturar pantallas de pantalla, simplificar los inicios de sesión de RDP e incluso crear y pegar un becario oculto al montón de administradores.
«Estas tácticas aumentan significativamente la dificultad de detección, prevención y estudio», dijo Fortinet. «Adicionalmente de proseguir su alternativa actualizada, la educación de los usuarios sobre los peligros de la ingeniería social sigue siendo esencial».
ClickFix obtiene otro vuelta novedoso
Los hallazgos coinciden con la aparición de otra campaña que emplea «técnicas de clickFix-esque» para distribuir un robador de información de productos conocidos como MetaStealer para los usuarios que buscan herramientas como Anydesk.
La dependencia de ataque implica servir una página falsa de tendencia de Cloudflare antaño de descargar el supuesto instalador Anydesk, y les pide que hagan clic en una casilla de demostración para completar un paso de demostración. Sin incautación, esta hecho desencadena un mensaje emergente pidiéndoles que abran el explorador de archivos de Windows.
Una vez que se abre el Explorador de archivos de Windows, el código PHP oculto en la página de demostración del tintelón está configurado para invertir el compensador de protocolo «Search-MS:» URI para mostrar un archivo de camino directo de Windows (LNK) disfrazado de PDF que está alojado en el sitio de un atacante.
El archivo LNK, por su parte, activa una serie de pasos para compilar el nombre de host y ejecutar un paquete MSI que finalmente es responsable de dejar caer a MetaStealer.
«Este tipo de ataques que requieren cierto nivel de interacción manual de la víctima, ya que trabajan para ‘arreglar’ el supuesto proceso roto en sí mismos, funcionan en parte porque pueden eludir potencialmente soluciones de seguridad», dijo Huntress. «Los actores de amenaza continúan moviendo la manecilla en sus cadenas de infección, arrojando una interruptor en la detección y prevención».
La divulgación además se produce cuando Cloudsek detalló una nueva acondicionamiento de la táctica de ingeniería social ClickFix que aprovecha las indicaciones invisibles utilizando métodos de ofuscación basados en CSS para armarse sistemas de IA y producir resúmenes que incluyen instrucciones de clickfix controladas por atacantes.
El ataque de prueba de concepto (POC) se logra mediante el uso de una logística indicación sobredosis rápida, en la que la carga útil está incrustada adentro del contenido HTML ampliamente para que domine la ventana de contexto de un maniquí de habla noble para dirigir su salida.
«Este enfoque se dirige a los resúmenes integrados en aplicaciones como clientes de correo electrónico, extensiones de navegador y plataformas de productividad», dijo la compañía. «Al explotar el empleo de los usuarios de la confianza en resúmenes generados por IA, el método ofrece instrucciones maliciosas paso a paso que pueden simplificar la implementación de ransomware».
«La sobredosis rápida es una técnica de manipulación que abruma la ventana de contexto de un maniquí de IA con contenido trillado de suscripción densidad para controlar su salida. Al saturar la entrada con el texto favorito por el atacante, el contexto legal se deja a un flanco, y la atención del maniquí se retira constantemente a la carga útil inyectada».
