Investigadores de ciberseguridad han revelado detalles de una nueva campaña ClickFix que abusa de sitios legítimos comprometidos para entregar un troyano de acceso remoto (RAT) previamente indocumentado llamado MIMICRATA (también conocido como AstarionRAT).
«La campaña demuestra un alto nivel de sofisticación operativa: los sitios comprometidos que abarcan múltiples industrias y geografías sirven como infraestructura de entrega, una cadena PowerShell de múltiples etapas realiza una derivación ETW y AMSI antes de soltar un cargador de shellcode con script Lua, y el implante final se comunica a través de HTTPS en el puerto 443 usando perfiles HTTP que se asemejan al tráfico de análisis web legítimo», dijo Elastic Security Labs en un informe del viernes.
Según la empresa de ciberseguridad y búsqueda empresarial, MIMICRAT es una RAT C++ personalizada con soporte para suplantación de tokens de Windows, tunelización SOCKS5 y un conjunto de 22 comandos para capacidades integrales posteriores a la explotación. La campaña fue descubierta a principios de este mes.
También se evalúa que comparte superposiciones tácticas y de infraestructura con otra campaña ClickFix documentada por Huntress que conduce al despliegue del cargador Matanbuchus 3.0, que luego sirve como conducto para el mismo RAT. Se sospecha que el objetivo final del ataque es la implementación de ransomware o la filtración de datos.
En la secuencia de infección resaltada por Elastic, el punto de entrada es bincheck(.)io, un servicio de validación de número de identificación bancaria (BIN) legítimo que fue violado para inyectar código JavaScript malicioso responsable de cargar un script PHP alojado externamente. Luego, el script PHP procede a entregar el señuelo ClickFix mostrando una página de verificación de Cloudflare falsa e indicando a la víctima que copie y pegue un comando en el cuadro de diálogo Ejecutar de Windows para solucionar el problema.
Esto, a su vez, conduce a la ejecución de un comando de PowerShell, que luego contacta a un servidor de comando y control (C2) para obtener un script de PowerShell de segunda etapa que parchea el registro de eventos de Windows (ETW) y el escaneo antivirus (AMSI) antes de descartar un cargador basado en Lua. En la etapa final, el script Lua descifra y ejecuta en la memoria el código shell que entrega MIMICRAT.
El troyano utiliza HTTPS para comunicarse con el servidor C2, lo que le permite aceptar dos docenas de comandos para el control de procesos y sistemas de archivos, acceso interactivo al shell, manipulación de tokens, inyección de shellcode y tunelización de proxy SOCKS.
«La campaña admite 17 idiomas, y el contenido del señuelo se localiza dinámicamente en función de la configuración de idioma del navegador de la víctima para ampliar su alcance efectivo», dijo el investigador de seguridad Salim Bitam. «Las víctimas identificadas abarcan múltiples geografías, incluida una universidad con sede en EE. UU. y múltiples usuarios de habla china documentados en debates en foros públicos, lo que sugiere un amplio objetivo oportunista».