Se ha observado un nuevo ataque de varias etapas que ofrece familias de malware como las variantes del agente Tesla, REMCOS RAT y XLOGER.
«Los atacantes confían cada vez más en mecanismos de entrega tan complejos para evadir la detección, evitar los sandboxes tradicionales y garantizar la entrega y ejecución exitosas de la carga útil», dijo el investigador 42 del investigador Saqib Khanzada en una redacción técnica de la campaña.
El punto de partida del ataque es un correo electrónico engañoso que plantea una solicitud de pedido para entregar un archivo de archivo malicioso de 7 ZIP, que contiene un archivo JavaScript codificado (.JSE).
El correo electrónico de phishing, observado en diciembre de 2024, afirmó falsamente que se había realizado un pago e instó al destinatario a revisar un archivo de pedido adjunto. El lanzamiento de la carga útil de JavaScript desencadena la secuencia de infección, con el archivo que actúa como un descargador para un script PowerShell desde un servidor externo.
El script, a su vez, alberga una carga útil codificada de Base64 que posteriormente se descifró, escrita en el directorio temporal de Windows y se ejecuta. Aquí es donde sucede algo interesante: el ataque conduce a un gotero de próxima etapa que se compila usando .NET o Autoit.
En el caso de un ejecutable de .NET, la carga útil incrustada incrustada, una variante de agente Tesla sospechada de serpiente keylogger o xloader, está decodificada e inyectada en un proceso «regasma.exe» en ejecución, una técnica observada en las campañas de Tesla del agente anterior.
El Autoit compilado ejecutable, por otro lado, introduce una capa adicional en un intento de complicar aún más los esfuerzos de análisis. El script Autoit dentro del ejecutable incorpora una carga útil encriptada responsable de cargar el código de shell -Code final, lo que hace que el archivo .NET se inyecte en un proceso «regsvcs.exe», que finalmente lleva a la implementación del agente Tesla.
«Esto sugiere que el atacante emplea múltiples rutas de ejecución para aumentar la resiliencia y evadir la detección», señaló Khanzada. «El enfoque del atacante permanece en una cadena de ataque de varias capas en lugar de una ofuscación sofisticada».
«Al apilar etapas simples en lugar de centrarse en técnicas altamente sofisticadas, los atacantes pueden crear cadenas de ataque resistentes que complicen el análisis y la detección».
Ironhusky ofrece una nueva versión de MysterSynail Rat
La divulgación se produce cuando Kaspersky detalló una campaña que se dirige a las organizaciones gubernamentales ubicadas en Mongolia y Rusia con una nueva versión de un malware llamado MysterySnail Rat. La actividad se ha atribuido a un actor de amenaza de habla china denominada Ironhusky.
Ironhusky, evaluado como activo desde al menos 2017, fue documentado anteriormente por la Russian CyberseCurity Company en octubre de 2021 en relación con la explotación del día cero de CVE-2021-40449, un defecto de escalada de privilegio Win32k, para entregar MysterySnail.
Las infecciones se originan en un script de consola de gestión de Microsoft (MMC) malicioso que imita un documento de Word de la Agencia Nacional de Tierras de Mongolia («COFINANTE DE LATER_ALAMGAC»). El script está diseñado para recuperar un archivo zip con un documento de señuelo, un binario legítimo («ciscocollabhost.exe») y un dll malicioso («ciscospoSpoSpoSparklauncher.dll»).
No se sabe exactamente cómo el script MMC se distribuye a objetivos de interés, aunque la naturaleza del documento de señuelo sugiere que puede haber sido a través de una campaña de phishing.
Como se observó en muchos ataques, «Ciscocollabhost.exe» se usa para dejar de revelar la DLL, una puerta trasera intermedia capaz de comunicarse con la infraestructura controlada por los atacantes aprovechando el proyecto de servidor de tuberías de código abierto.
La puerta trasera admite capacidades para ejecutar shells de comando, descargar/cargar archivos, enumerar el contenido del directorio, eliminar archivos, crear nuevos procesos y terminarse. Estos comandos se usan para Sideload Mysterysnail Rat.
La última versión del malware es capaz de aceptar casi 40 comandos, lo que le permite realizar operaciones de administración de archivos, ejecutar comandos a través de cmd.exe, procesos de desove y matar, administrar servicios y conectarse a recursos de red a través de módulos DLL dedicados.
Kasperksy dijo que observó a los atacantes dejar caer una «versión reutilizada y más ligera» de Mysterysnail con nombre en código MysteryMonosnail después de que las empresas afectadas tomaron acciones afectadas para bloquear las intrusiones.
«Esta versión no tiene tantas capacidades como la versión de MysterySnail Rat», señaló la compañía. «Estaba programado para tener solo 13 comandos básicos, usados para enumerar el contenido del directorio, escribir datos en archivos y iniciar procesos y shells remotos».