Se ha observado una nueva campaña de malware aprovechando las tácticas de ingeniería social para ofrecer un rootkit de código abierto llamado R77.
La actividad, condenada Oscuro # murciélago Por Securonix, permite a los actores de amenaza establecer persistencia y evadir la detección de sistemas comprometidos. Actualmente no se sabe quién está detrás de la campaña.
RootKit «tiene la capacidad de encubrir o enmascarar cualquier archivo, clave de registro o tarea comenzando con un prefijo específico», dijeron los investigadores de seguridad Den Iuzvyk y Tim Peck en un informe compartido con Hacker News. «Ha estado dirigido a los usuarios disfrazándose de descargas de software legítimas o a través de estafas falsas de ingeniería social de Captcha».
La campaña está diseñada para atacar principalmente a individuos de habla inglesa, particularmente a los Estados Unidos, Canadá, Alemania y al Reino Unido.
Obscure#BAT obtiene su nombre del hecho de que el punto de partida del ataque es un script de lotes de Windows ofled que, a su vez, ejecuta los comandos de PowerShell para activar un proceso de etapas múltiples que culmina en la implementación del RootKit.
Se han identificado al menos dos rutas de acceso iniciales diferentes para que los usuarios ejecute los scripts de lotes maliciosos: uno que utiliza la infame estrategia de ClickFix dirigiendo a los usuarios a una página falsa de verificación CloudFlare Captcha y un segundo método que emplea anunciando el malware como herramientas legítimas como Browser, Software VoIP y clientes de mensajería.
Si bien no está claro cómo los usuarios son atraídos al software atrapado en el bobo, se sospecha que involucra enfoques probados como malvertidos o envenenamiento por optimización de motores de búsqueda (SEO).
Independientemente del método utilizado, la carga útil de la primera etapa es un archivo que contiene el script por lotes, que luego invoca los comandos de PowerShell para soltar scripts adicionales, realizar modificaciones del registro de Windows y configurar tareas programadas para la persistencia.
«Las tiendas de malware ofuscaron scripts en el registro de Windows y garantizan la ejecución a través de tareas programadas, lo que le permite ejecutar sigilosamente en segundo plano», dijeron los investigadores. «Además, modifica las claves de registro del sistema para registrar un controlador falso (ACPIX86.SYS), incrustándose aún más en el sistema».
Implementado en el transcurso del ataque hay una carga útil .NET que emplea un grupo de trucos para evadir la detección. Esto incluye la ofuscación de flujo de control, el cifrado de cadenas y el uso de nombres de funciones que mezclan caracteres árabes, chinos y especiales.
Otra carga útil cargada por medio de PowerShell es un ejecutable que utiliza el parche de la interfaz de escaneo de antimalware (AMSI) para evitar detecciones antivirus.
La carga útil de .NET es en última instancia responsable de lanzar un RootKit de modo de sistema llamado «ACPIX86.SYS» en la carpeta «C: Windows System32 Drivers «, que luego se inicia como un servicio. También se entrega un RootKit en modo de usuario denominado R77 para configurar la persistencia en los archivos de host y ocultación, procesos y claves de registro que coinciden con el patrón ($ NYA-).
El malware monitorea aún más periódicamente para la actividad del portapapeles y el historial de comandos y los guarda en archivos ocultos para una probable exfiltración.
«Obscure#BAT demuestra una cadena de ataque altamente evasiva, aprovechando la ofuscación, las técnicas de sigilo y la enganche API para persistir en los sistemas comprometidos mientras evaden la detección», dijeron los investigadores.
«Desde la ejecución inicial del script de lotes ofuscado (install.bat) hasta la creación de tareas programadas y scripts de registro almacenados, el malware garantiza la persistencia incluso después de reiniciar. Al inyectar procesos críticos del sistema como Winlogon.exe, manipula el comportamiento del proceso para complicar aún más la detección».
Los hallazgos se producen cuando Cofense detalló una campaña de falsificación de Copilot de Microsoft que utiliza correos electrónicos de phishing para llevar a los usuarios a una página de destino falsa para el asistente de inteligencia artificial (IA) que está diseñada para cosechar las credenciales de los usuarios y los códigos de autenticación de dos factores (2FA).