Phishing utiliza ofuscación para distribuir malware en varias etapas

Investigadores de ciberseguridad han descubierto un intrincado ataque de varias etapas que aprovecha señuelos de phishing con temas de facturas para entregar una amplia gama de malware como Venom RAT, Remcos RAT, XWorm, NanoCore RAT y un stealer dirigido a carteras criptográficas.

Los mensajes de correo electrónico vienen con archivos adjuntos de gráficos vectoriales escalables (SVG) que, al hacer clic, activan la secuencia de infección, dijo Fortinet FortiGuard Labs en un informe técnico.

El modus operandi se destaca por el uso del motor de ofuscación de malware BatCloak y ScrubCrypt para entregar el malware en forma de archivos BAT ofuscados.

BatCloak, puesto a la venta a otros actores de amenazas desde finales de 2022, tiene su base en otra herramienta llamada Jlaive. Su característica principal es cargar un payload de la siguiente etapa de una manera que eluda los mecanismos de detección tradicionales.

ScrubCrypt, un cifrador que Fortinet documentó por primera vez en marzo de 2023 en relación con una campaña de criptojacking orquestada por 8220 Gang, se considera una de las iteraciones de BatCloak, según una investigación de Trend Micro del año pasado.

En la última campaña analizada por la empresa de ciberseguridad, el archivo SVG sirve como conducto para colocar un archivo ZIP que contiene un script BAT probablemente creado con BatCloak, que luego descomprime otro archivo BAT de ScrubCrypt para finalmente ejecutar Venom RAT, pero no antes intentar lograr persistencia en el host y tomar medidas para eludir las protecciones AMSI y las protección ETW.

Venom RAT, una bifurcación de Quasar RAT, permite a los atacantes tomar el control de los sistemas comprometidos, recopilar información confidencial y ejecutar comandos recibidos de un servidor de comando y control (C2).

"Si bien el programa principal de Venom RAT puede parecer sencillo, mantiene canales de comunicación con el servidor C2 para adquirir complementos adicionales para diversas actividades. Esto incluye Venom RAT v6.0.3 con capacidades de registrador de teclas, NanoCore RAT, XWorm y Remcos RAT. Este complemento [Remcos RAT] se distribuyó desde el C2 de VenomRAT utilizando tres métodos: un script VBS ofuscado llamado 'remcos.vbs', ScrubCrypt y Guloader PowerShell" dijeron los investigadores.

También se entrega utilizando el sistema de complemento un stealer que recopila información sobre el sistema y extrae datos de carpetas asociadas con billeteras y aplicaciones como Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty (retirado a partir de marzo de 2023), Zcash, Foxmail y Telegram a un servidor remoto.

"Los atacantes emplean una variedad de métodos, incluidos correos electrónicos de phishing con archivos adjuntos maliciosos, archivos de script ofuscados y Guloader PowerShell, para infiltrarse y comprometer los sistemas de las víctimas. Además, implementar complementos a través de diferentes cargas útiles resalta la versatilidad y adaptabilidad de la campaña de ataque".

Fuente: THN

Suscríbete a nuestro Boletín