Microsoft está llamando la atención sobre una campaña de malvertimiento continuo que hace uso de Node.js para ofrecer cargas útiles maliciosas capaces de robo de información y exfiltración de datos.
La actividad, detectada por primera vez en octubre de 2024, utiliza señuelos relacionados con el comercio de criptomonedas para engañar a los usuarios para que instalen un instalador deshonesto de sitios web fraudulentos que se disfrazan de software legítimo como Binance o TradingView.
El instalador descargado viene integrado con una biblioteca de enlace dinámico («Customations.dll») que es responsable de cosechar información básica del sistema utilizando Windows Management Instrumentation (WMI) y configurar la persistencia en el host a través de una tarea programada.
En un intento por mantener la artimaña, el DLL lanza una ventana del navegador a través de «msedge_proxy.exe» que muestra el sitio web de comercio de criptomonedas legítimo. Vale la pena señalar que «msedge_proxy.exe» se puede usar para mostrar cualquier sitio web como una aplicación web.
Mientras tanto, la tarea programada está configurada para ejecutar los comandos de PowerShell para descargar desde un servidor remoto scripts adicionales, que se encargan de excluir el proceso de PowerShell en ejecución, así como el directorio actual de ser escaneado por Microsoft Defender para el punto final como una forma de evitar la detección.
Una vez que se establecen las exclusiones, se ejecuta un comando de PowerShell ofuscado para obtener scripts de URL remotas que son capaces de recopilar información extensa relacionada con el sistema de operaciones, BIOS, hardware y aplicaciones instaladas.
Todos los datos capturados se convierten en formato JSON y se envían al servidor de comando y control (C2) utilizando una solicitud de publicación HTTPS.
La cadena de ataque luego procede a la siguiente fase donde se inicia otro script de PowerShell para descargar un archivo de archivo del C2 que contiene el binario Node.js Runtime y un archivo JavaScript compilado (JSC). El ejecutable Node.js inicia la ejecución del archivo JSC, que va a establecer conexiones de red y probablemente información del navegador sensible al sifón.
En una secuencia de infección alternativa observada por Microsoft, la estrategia ClickFix se ha empleado para habilitar la ejecución en línea de JavaScript, utilizando un comando malicioso de PowerShell para descargar el binario Node.js y usarla para ejecutar el código JavaScript directamente, en lugar de desde un archivo.
El JavaScript en línea lleva a cabo actividades de descubrimiento de red para identificar activos de alto valor, disfraza el tráfico C2 como una actividad legítima de CloudFlare para volar bajo el radar y gana persistencia al modificar las teclas de ejecución del registro de Windows.
«Node.js es un entorno de tiempo de ejecución de JavaScript de código abierto y de código abierto que permite que el código JavaScript se ejecute fuera de un navegador web», dijo el gigante tecnológico. «Los desarrolladores lo usan y confían ampliamente porque les permite construir aplicaciones frontendas y de back -end».
«Sin embargo, los actores de amenaza también están aprovechando estas características de nodo.js para tratar de combinar malware con aplicaciones legítimas, omitir los controles de seguridad convencionales y persistir en entornos de destino».
La divulgación se produce cuando CloudSek reveló que un sitio de convertidor PDF a Docx falso que se hace pasar por Candy PDF (CandyXPDF (.) COM o CandyConverterpdf (.) Com) se ha encontrado aprovechando el truco de ingeniería social de ClickFix para convencer a las víctimas para ejecutar los comandos de Powershell encodados que finalmente desplegar sectoprat (AKA AKA AKAClient2) malware.
«Los actores de amenaza replicaron meticulosamente la interfaz de usuario de la plataforma genuina y registraron nombres de dominio de aspecto similar para engañar a los usuarios», dijo el investigador de seguridad Varun Ajmera en un informe publicado esta semana.
«El vector de ataque implica engañar a las víctimas para que ejecute un comando PowerShell que instale malware ARECHCLIENT2, una variante de la familia Dangean Sectoprat Information Stealer conocida por cosechar datos confidenciales de sistemas comprometidos».
También se han observado campañas de phishing utilizando un kit basado en PHP para dirigir a los empleados de las compañías con estafas con recursos humanos (recursos humanos) para obtener acceso no autorizado a los portales de nómina y cambiar la información de la cuenta bancaria de las víctimas para redirigir fondos a una cuenta bajo el control de la amenaza del actor.
Algunas de estas actividades se han atribuido a un grupo de piratería llamado Pirates de nómina, con los atacantes utilizando campañas de publicidad de búsqueda maliciosa con sitios web de phishing patrocinados y páginas de recursos humanos falsificadas a través de Google para atraer a las víctimas desprevenidas para proporcionar sus credenciales y la autenticación de dos factores (2FA).