Los cazadores de amenazas han descubierto similitudes entre un malware bancario llamado Coyote y un programa malicioso recientemente revelado denominado Maverick que se ha propagado a través de WhatsApp.
Según un informe de CyberProof, ambas cepas de malware están escritas en .NET, se dirigen a usuarios y bancos brasileños y presentan una funcionalidad idéntica para descifrar, apuntar a URL bancarias y monitorear aplicaciones bancarias. Más importante aún, ambos incluyen la capacidad de difundirse a través de WhatsApp Web.
Maverick fue documentado por primera vez por Trend Micro a principios del mes pasado, atribuyéndolo a un actor de amenazas denominado Bolsas de agua. La campaña consta de dos componentes: un malware autopropagante denominado SORVEPOTEL que se propaga a través de la versión web de escritorio de WhatsApp y se utiliza para entregar un archivo ZIP que contiene la carga útil de Maverick.
El malware está diseñado para monitorear las pestañas activas de las ventanas del navegador en busca de URL que coincidan con una lista codificada de instituciones financieras en América Latina. Si las URL coinciden, establece contacto con un servidor remoto para obtener comandos de seguimiento para recopilar información del sistema y publicar páginas de phishing para robar credenciales.
La empresa de ciberseguridad Sophos, en un informe posterior, fue la primera en plantear la posibilidad de si la actividad podría estar relacionada con campañas anteriores que difundieron Coyote dirigidas a usuarios en Brasil y si Maverick es una evolución de Coyote. Otro análisis de Kaspersky encontró que Maverick contenía muchas superposiciones de código con Coyote, pero señaló que lo está tratando como una amenaza completamente nueva dirigida a Brasil en masa.
Los últimos hallazgos de CyberProof muestran que el archivo ZIP contiene un acceso directo de Windows (LNK) que, cuando lo inicia el usuario, ejecuta cmd.exe o PowerShell para conectarse a un servidor externo («zapgrande(.)com») para descargar la carga útil de la primera etapa. El script de PowerShell es capaz de iniciar herramientas intermedias diseñadas para deshabilitar Microsoft Defender Antivirus y UAC, así como recuperar un cargador .NET.
El cargador, por su parte, presenta técnicas antianálisis para verificar la presencia de herramientas de ingeniería inversa y autoterminar si las encuentra. Luego, el cargador procede a descargar los módulos principales del ataque: SORVEPOTEL y Maverick. Vale la pena mencionar aquí que Maverick solo se instala después de asegurarse de que la víctima se encuentre en Brasil verificando la zona horaria, el idioma, la región y el formato de fecha y hora del host infectado.
CyberProof dijo que también encontró evidencia de que el malware se estaba utilizando para seleccionar hoteles en Brasil, lo que indica una posible expansión de los ataques.
La divulgación se produce cuando Trend Micro detalló la nueva cadena de ataque de Water Saci que emplea una infraestructura de comando y control (C2) basada en correo electrónico, se basa en la persistencia multivectorial para mayor resiliencia e incorpora varias comprobaciones avanzadas para evadir la detección, mejorar el sigilo operativo y restringir la ejecución solo a sistemas en idioma portugués.
«La nueva cadena de ataque también cuenta con un sofisticado sistema remoto de comando y control que permite a los actores de amenazas administrar en tiempo real, incluyendo pausar, reanudar y monitorear la campaña del malware, convirtiendo efectivamente las máquinas infectadas en una herramienta de botnet para operaciones coordinadas y dinámicas en múltiples puntos finales», dijo la compañía de ciberseguridad en un informe publicado a fines del mes pasado.
 |
| Se observa nueva cadena de ataque de Water Saci |
La secuencia de infección evita los binarios .NET en favor de Visual Basic Script (VB Script) y PowerShell para secuestrar las sesiones del navegador de WhatsApp y difundir el archivo ZIP a través de la aplicación de mensajería. De manera similar a la cadena de ataque anterior, el secuestro web de WhatsApp se realiza descargando ChromeDriver y Selenium para la automatización del navegador.
El ataque se desencadena cuando un usuario descarga y extrae el archivo ZIP, que incluye un descargador VBS ofuscado («Orcamento.vbs», también conocido como SORVEPOTEL), que, a su vez, emite un comando de PowerShell para descargar y ejecutar un script de PowerShell («tadeu.ps1») directamente en la memoria.
Este script de PowerShell se utiliza para tomar el control de la sesión web de WhatsApp de la víctima y distribuir los archivos ZIP maliciosos a todos los contactos asociados con su cuenta, al mismo tiempo que muestra un banner engañoso llamado «WhatsApp Automation v6.0» para ocultar su intención maliciosa. Además, el script se pone en contacto con un servidor C2 para buscar plantillas de mensajes y filtrar listas de contactos.
«Después de finalizar cualquier proceso existente de Chrome y borrar las sesiones antiguas para garantizar un funcionamiento limpio, el malware copia los datos legítimos del perfil de Chrome de la víctima a su espacio de trabajo temporal», dijo Trend Micro. «Estos datos incluyen cookies, tokens de autenticación y la sesión guardada del navegador».
 |
| Cronología de la campaña Agua Saci |
«Esta técnica permite que el malware evite por completo la autenticación de WhatsApp Web, obteniendo acceso inmediato a la cuenta de WhatsApp de la víctima sin activar alertas de seguridad ni requerir escaneo de códigos QR».
El malware, añadió la empresa de ciberseguridad, también implementa un sofisticado mecanismo de control remoto que permite al adversario pausar, reanudar y monitorear la propagación de WhatsApp en tiempo real, convirtiéndolo efectivamente en un malware capaz de controlar los hosts comprometidos como un bot.
En cuanto a cómo distribuye realmente el archivo ZIP, el código de PowerShell recorre en iteración cada contacto recopilado y busca un comando de pausa antes de enviar mensajes personalizados sustituyendo variables en la plantilla de mensajes con saludos basados en el tiempo y nombres de contactos.
Otro aspecto importante de SORVEPOTEL es que aprovecha las conexiones IMAP a cuentas de correo electrónico de terra.com(.)br utilizando credenciales de correo electrónico codificadas para conectarse a la cuenta de correo electrónico y recuperar comandos en lugar de utilizar una comunicación tradicional basada en HTTP. Algunas de estas cuentas se han protegido mediante autenticación multifactor (MFA) para evitar el acceso no autorizado.
Se dice que esta capa de seguridad adicional introdujo retrasos operativos, ya que cada inicio de sesión requiere que el actor de la amenaza ingrese manualmente un código de autenticación único para acceder a la bandeja de entrada y guardar la URL del servidor C2 utilizada para enviar los comandos. Luego, la puerta trasera sondea periódicamente el servidor C2 para obtener la instrucción. La lista de comandos admitidos es la siguiente:
- INFO, para recopilar información detallada del sistema.
- CMD, para ejecutar un comando a través de cmd.exe y exportar los resultados de la ejecución a un archivo temporal
- POWERSHELL, para ejecutar un comando de PowerShell
- SCREENSHOT, para tomar capturas de pantalla
- LISTA DE TAREAS, para enumerar todos los procesos en ejecución
- KILL, para terminar un proceso específico
- LIST_FILES, para enumerar archivos/carpetas
- DOWNLOAD_FILE, para descargar archivos del sistema infectado
- UPLOAD_FILE, para cargar archivos al sistema infectado
- ELIMINAR, para eliminar archivos/carpetas específicas
- RENAME, para cambiar el nombre de archivos/carpetas
- COPIAR, para copiar archivos/carpetas
- MOVE, para mover archivos/carpetas
- FILE_INFO, para obtener metadatos detallados sobre un archivo
- BÚSQUEDA, para buscar recursivamente archivos que coincidan con patrones específicos
- CREATE_FOLDER, para crear carpetas
- REBOOT, para iniciar un reinicio del sistema con un retraso de 30 segundos
- APAGADO, para iniciar un apagado del sistema con un retraso de 30 segundos
- ACTUALIZAR, para descargar e instalar una versión actualizada de sí mismo
- CHECK_EMAIL, para comprobar el correo electrónico controlado por el atacante en busca de nuevas URL C2
La naturaleza generalizada de la campaña está impulsada por la popularidad de WhatsApp en Brasil, que cuenta con más de 148 millones de usuarios activos, lo que lo convierte en el segundo mercado más grande del mundo después de India.
«Los métodos de infección y la evolución táctica en curso, junto con los objetivos centrados en la región, indican que Water Saci probablemente esté vinculado a Coyote, y ambas campañas operan dentro del mismo ecosistema cibercriminal brasileño», dijo Trend Micro, describiendo a los atacantes como agresivos en «cantidad y calidad».
«Vincular la campaña Water Saci con Coyote revela un panorama más amplio que muestra un cambio significativo en los métodos de propagación del troyano bancario. Los actores de amenazas han pasado de depender de cargas útiles tradicionales a explotar perfiles de navegador y plataformas de mensajería legítimos para ataques sigilosos y escalables».