Se ha observado una nueva campaña de malware aprovechando las tácticas de ingeniería social para ofrecer un rootkit de código rajado llamado R77.
La actividad, condenada Azaroso # murceguillo Por Securonix, permite a los actores de amenaza establecer persistencia y esquivar la detección de sistemas comprometidos. Actualmente no se sabe quién está detrás de la campaña.
RootKit «tiene la capacidad de encubrir o disimular cualquier archivo, esencia de registro o tarea comenzando con un prefijo específico», dijeron los investigadores de seguridad Den Iuzvyk y Tim Peck en un noticia compartido con Hacker News. «Ha estado dirigido a los usuarios disfrazándose de descargas de software legítimas o a través de estafas falsas de ingeniería social de Captcha».
La campaña está diseñada para atacar principalmente a individuos de acento inglesa, particularmente a los Estados Unidos, Canadá, Alemania y al Reino Unido.
Obscure#BAT obtiene su nombre del hecho de que el punto de partida del ataque es un script de lotes de Windows ofled que, a su vez, ejecuta los comandos de PowerShell para activar un proceso de etapas múltiples que culmina en la implementación del RootKit.
Se han identificado al menos dos rutas de paso iniciales diferentes para que los usuarios ejecute los scripts de lotes maliciosos: uno que utiliza la infame organización de ClickFix dirigiendo a los usuarios a una página falsa de demostración CloudFlare Captcha y un segundo método que emplea anunciando el malware como herramientas legítimas como Browser, Software VoIP y clientes de correo.
Si acertadamente no está claro cómo los usuarios son atraídos al software atrapado en el ignorante, se sospecha que involucra enfoques probados como malvertidos o envenenamiento por optimización de motores de búsqueda (SEO).
Independientemente del método utilizado, la carga útil de la primera etapa es un archivo que contiene el script por lotes, que luego invoca los comandos de PowerShell para soltar scripts adicionales, realizar modificaciones del registro de Windows y configurar tareas programadas para la persistencia.
«Las tiendas de malware ofuscaron scripts en el registro de Windows y garantizan la ejecución a través de tareas programadas, lo que le permite ejecutar sigilosamente en segundo plano», dijeron los investigadores. «Adicionalmente, modifica las claves de registro del sistema para registrar un regulador fingido (ACPIX86.SYS), incrustándose aún más en el sistema».
Implementado en el transcurso del ataque hay una carga útil .NET que emplea un liga de trucos para esquivar la detección. Esto incluye la ofuscación de flujo de control, el secreto de cadenas y el uso de nombres de funciones que mezclan caracteres árabes, chinos y especiales.
Otra carga útil cargada por medio de PowerShell es un ejecutable que utiliza el parche de la interfaz de escaneo de antimalware (AMSI) para evitar detecciones antivirus.
La carga útil de .NET es en última instancia responsable de difundir un RootKit de modo de sistema llamado «ACPIX86.SYS» en la carpeta «C: Windows System32 Drivers «, que luego se inicia como un servicio. Igualmente se entrega un RootKit en modo de adjudicatario denominado R77 para configurar la persistencia en los archivos de host y ocultación, procesos y claves de registro que coinciden con el patrón ($ NYA-).
El malware monitorea aún más periódicamente para la actividad del portapapeles y el historial de comandos y los cuidado en archivos ocultos para una probable exfiltración.
«Obscure#BAT demuestra una cautiverio de ataque en gran medida evasiva, aprovechando la ofuscación, las técnicas de sigilo y la enganche API para persistir en los sistemas comprometidos mientras evaden la detección», dijeron los investigadores.
«Desde la ejecución auténtico del script de lotes ofuscado (install.bat) hasta la creación de tareas programadas y scripts de registro almacenados, el malware garantiza la persistencia incluso luego de reiniciar. Al inyectar procesos críticos del sistema como Winlogon.exe, manipula el comportamiento del proceso para complicar aún más la detección».
Los hallazgos se producen cuando Cofense detalló una campaña de falsificación de Copilot de Microsoft que utiliza correos electrónicos de phishing para transigir a los usuarios a una página de destino falsa para el asistente de inteligencia fabricado (IA) que está diseñada para cosechar las credenciales de los usuarios y los códigos de autenticación de dos factores (2FA).
