Infecciones poco comunes y métodos de propagación de malware

A menudo nos preguntan cómo se infectan los objetivos con malware. Nuestra respuesta es casi siempre la misma: (spear) phishing. Habrá excepciones, naturalmente, ya que encontraremos vulnerabilidades RCE de vez en cuando, o si el atacante ya está en la red, utilizará herramientas como PsExec. Pero eso es todo, la mayor parte del tiempo, de todos modos.

Esta vez nos enfocamos en los métodos de infección usados ​​en varias campañas de malware: métodos que no vemos que se usen con mucha frecuencia.

BlackBasta: un nuevo método de propagación

BlackBasta, el notorio ransomware recibió una actualización recientemente. Ahora tiene un segundo parámetro de línea de comando opcional: «-bomba».

Cuando se usa ese parámetro, el malware hace lo siguiente:

  1. conectarse al AD usando la biblioteca LDAP y obtener una lista de máquinas en la red,
  2. utilizando la lista de máquinas, se copia a sí mismo en cada máquina,
  3. utilizando el Modelo de objetos componentes (COM), se ejecuta de forma remota en cada máquina.

El beneficio de usar un método de propagación incorporado es que deja menos rastros en el sistema y es más sigiloso que usar herramientas públicas. Por ejemplo, una de las herramientas favoritas de los atacantes, PsExec, se detecta fácilmente en la red. El nuevo método deja a los defensores de la red con menos posibilidades de detectar la actividad maliciosa.

CLoader: infección a través de torrents maliciosos

Los ciberdelincuentes rara vez usan torrents maliciosos para infectar a sus objetivos. Sin embargo, es un método de infección que no debe descartarse, tal y como demuestra CLoader.

CLoader se descubrió en abril de 2022. Utilizaba juegos y software descifrados como cebo para engañar a los usuarios para que instalaran malware. Los archivos descargados eran instaladores de NSIS, que contenían código malicioso en el script de instalación.

En total, observamos seis payloads diferentes que se descargaron:

  • Proxy malicioso Microleaves: funciona como un proxy en la máquina infectada,
  • Proxy malicioso de Paybiz: funciona como un proxy en la máquina infectada,
  • Descargador de MediaCapital: puede instalar más malware en el sistema,
  • Descargador CSDI: puede instalar más malware en el sistema,
  • Descargador Hostwin64: puede instalar más malware en el sistema,
  • Inlog backdoor: instala la aplicación legítima de NetSupport para el acceso remoto a la máquina.

Cuando observamos la victimología, vemos que los usuarios de todo el mundo están infectados, pero principalmente en los EE. UU., Brasil e India.

OnionPoison: infecciones a través de un navegador TOR falso

En agosto de 2022, se descubrio una campaña que se había estado ejecutando al menos desde enero, enfocándose en los usuarios de habla china. Un popular canal de YouTube en chino sobre el anonimato en línea publicó un video con instrucciones para instalar el navegador Tor. Eso no es extraño en sí mismo, ya que el navegador Tor está bloqueado en China. Sin embargo, si el usuario hace clic en el enlace de la descripción, se descarga una versión infectada del navegador Tor.

La versión infectada es casi idéntica a la original, por lo que el usuario no nota ninguna diferencia. La diferencia con la versión benigna es:

  • El instalador carece de firma digital;
  • Una de las DLL que viene con la versión original (freebl3.dll) es completamente diferente, ya que contiene código de puerta trasera;
  • Se incluye un nuevo archivo (freebl.dll), que es el mismo que el freebl3.dll original;
  • El binario de Firefox que viene incluido con TOR difiere en un byte del original, es decir, un carácter en la URL utilizada para las actualizaciones. De esta forma, los atacantes evitan que el navegador se actualice;
  • El archivo de configuración del navegador se cambia para proporcionar menos anonimato. Por ejemplo, el historial de navegación ahora se almacena en el disco.

La funcionalidad del Freebl3.dll backdoored es bastante simple. Transmite toda la funcionalidad a la DLL original y también descarga una DLL adicional del C2.

La DLL descargada contiene la mayor parte de la funcionalidad maliciosa. Entre otras cosas, es capaz de:

  • ejecutar comandos en el sistema,
  • enviar el historial de navegación de TOR al C2,
  • enviando las identificaciones de cuenta de WeChat y QQ de la víctima al C2.

Sobre Nosotros

Somos una consultoría especializada en la seguridad de información, que por medio de una gama de consultores expertos en la materia, brindamos soluciones a los problemas tecnológicos que enfrentan las diferentes industrias.

Nuestros Servicios

Conclusión

Aunque los actores malintencionados se basan en el correo electrónico como principal vector de infección, no se deben descartar otros métodos. La usurpación de dominios y el software descifrado descargable a través de torrents son solo dos de los trucos alternativos que usan los delincuentes para atraer a las víctimas para que instalen el malware en sus sistemas.

Los desarrolladores de ransomware siguen actualizando su malware. Esta vez, BlackBasta agregó una funcionalidad que dificulta el análisis forense y la detección, ya que el malware ahora puede propagarse a través de la propia red.

Consultoría de Ciberseguridad

Ubicacion

Calz. del Valle 255 Int A Col. del Valle, Del Valle, 66220 San Pedro Garza García, N.L.