El actor de amenazas conocido como Derretir Se ha observado la adopción de nuevos métodos para obtener acceso a datos de correo electrónico corporativo pertenecientes a empresas objetivo, incluido el uso de una herramienta personalizada denominada TCSectorCopy.
«Este ataque les permite obtener tokens para el protocolo de autorización OAuth 2.0 utilizando el navegador del usuario, que pueden usarse fuera del perímetro de la infraestructura comprometida para acceder al correo corporativo», dijo Kaspersky en un desglose técnico.
ToddyCat, que se considera activo desde 2020, tiene un historial de apuntar a varias organizaciones en Europa y Asia con varias herramientas, Samurai y TomBerBil, para retener el acceso y robar cookies y credenciales de navegadores web como Google Chrome y Microsoft Edge.
A principios de abril, se atribuyó al grupo de piratas informáticos la explotación de una falla de seguridad en ESET Command Line Scanner (CVE-2024-11859, puntuación CVSS: 6.8) para entregar un malware previamente indocumentado con nombre en código TCESB.
Kaspersky dijo que detectó en ataques que tuvieron lugar entre mayo y junio de 2024 una variante PowerShell de TomBerBil (a diferencia de las versiones C++ y C# señaladas anteriormente), que viene con capacidades para extraer datos de Mozilla Firefox. Una característica notable de esta versión es que se ejecuta en controladores de dominio de un usuario privilegiado y puede acceder a archivos del navegador a través de recursos de red compartidos utilizando el protocolo SMB.
El malware, añadió la empresa, se lanzó mediante una tarea programada que ejecutaba un comando de PowerShell. Específicamente, busca el historial del navegador, cookies y credenciales guardadas en el host remoto a través de SMB. Si bien los archivos copiados que contienen la información se cifran utilizando la API de protección de datos de Windows (DPAPI), TomBerBil está equipado para capturar la clave de cifrado necesaria para descifrar los datos.
«La versión anterior de TomBerBil se ejecutaba en el host y copiaba el token del usuario. Como resultado, se utilizó DPAPI para descifrar la clave maestra en la sesión actual del usuario y, posteriormente, los archivos mismos», dijeron los investigadores. «En la versión más nueva del servidor, TomBerBil copia archivos que contienen claves de cifrado de usuario que utiliza DPAPI. Usando estas claves, así como el SID y la contraseña del usuario, los atacantes pueden descifrar todos los archivos copiados localmente».
También se ha descubierto que los actores de amenazas acceden a correos electrónicos corporativos almacenados en el almacenamiento local de Microsoft Outlook en forma de archivos OST (abreviatura de Offline Storage Table) utilizando TCSectorCopy («xCopy.exe»), eludiendo las restricciones que limitan el acceso a dichos archivos cuando la aplicación se está ejecutando.
Escrito en C++, TCSectorCopy acepta como entrada un archivo para copiar (en este caso, archivos OST) y luego procede a abrir el disco como un dispositivo de solo lectura y copia secuencialmente el contenido del archivo sector por sector. Una vez que los archivos OST se escriben en la ruta elegida por el atacante, el contenido de la correspondencia electrónica se extrae utilizando XstReader, un visor de código abierto para archivos OST y PST de Outlook.
Otra táctica adoptada por ToddyCat implica esfuerzos para obtener tokens de acceso directamente de la memoria en los casos en que las organizaciones víctimas utilizaron el servicio en la nube de Microsoft 365. Los tokens web JSON (JWT) se obtienen a través de una herramienta C# de código abierto llamada SharpTokenFinder, que enumera aplicaciones de Microsoft 365 para tokens de autenticación de texto sin formato.
Pero se dice que el actor de amenazas enfrentó un revés en al menos un incidente investigado después de que el software de seguridad instalado en el sistema bloqueara el intento de SharpTokenFinder de volcar el proceso Outlook.exe. Para sortear esta restricción, el operador utilizó la herramienta ProcDump del paquete Sysinternals con argumentos específicos para realizar un volcado de memoria del proceso de Outlook.
«El grupo ToddyCat APT está constantemente desarrollando sus técnicas y buscando aquellas que ocultarían la actividad para obtener acceso a la correspondencia corporativa dentro de la infraestructura comprometida», dijo Kaspersky.