Investigadores de ciberseguridad han descubierto una campaña en curso dirigida a usuarios indios con una puerta trasera de varias etapas como parte de una supuesta campaña de ciberespionaje.
El actividadsegún la Unidad de Respuesta a Amenazas (TRU) de eSentire, implica el uso de correos electrónicos de phishing que se hacen pasar por el Departamento de Impuestos sobre la Renta de la India para engañar a las víctimas para que descarguen un archivo malicioso y, en última instancia, otorga a los actores de amenazas acceso persistente a sus máquinas para un monitoreo continuo y filtración de datos.
El objetivo final del sofisticado ataque es implementar una variante de un conocido troyano bancario llamado Blackmoon (también conocido como KRBanker) y una herramienta empresarial legítima llamada SyncFuture TSM (Terminal Security Management) desarrollada por Tecnología Co., Ltd de Nanjing Zhongke Huasaiuna empresa china. La campaña no se ha atribuido a ningún actor o grupo de amenazas conocido.
«Si bien se comercializa como una herramienta empresarial legítima, en esta campaña se reutiliza como un poderoso marco de espionaje todo en uno», dijo eSentire. «Al implementar este sistema como su carga útil final, los actores de amenazas establecen una persistencia resistente y obtienen un rico conjunto de características para monitorear la actividad de las víctimas y administrar de manera centralizada el robo de información confidencial».
El archivo ZIP distribuido a través de los avisos falsos de multas fiscales contiene cinco archivos diferentes, todos los cuales están ocultos excepto un ejecutable («Inspection Document Review.exe») que se utiliza para descargar una DLL maliciosa presente en el archivo. La DLL, por su parte, implementa comprobaciones para detectar retrasos inducidos por el depurador y contacta a un servidor externo para recuperar la carga útil de la siguiente etapa.
Luego, el código shell descargado utiliza una técnica basada en COM para omitir el mensaje de Control de cuentas de usuario (UAC) para obtener privilegios administrativos. También modifica su propio Bloque de Entorno de Proceso (PEB) para hacerse pasar por el proceso legítimo «explorer.exe» de Windows para pasar desapercibido.
Además de eso, recupera la siguiente etapa «180.exe» del archivo «eaxwwyr[.]cn», un instalador de Inno Setup de 32 bits que ajusta su comportamiento en función de si el proceso Avast Free Antivirus («AvastUI.exe») se está ejecutando en el host comprometido.
Si se detecta el programa de seguridad, el malware utiliza una simulación automática del mouse para navegar por la interfaz de Avast y agregar archivos maliciosos a su lista de exclusión sin deshabilitar el motor antivirus para evitar la detección. Esto se logra mediante un DLL que se considera una variante del Luna Negra familia de malware, conocida por apuntar a empresas en Corea del Sur, Estados Unidos y Canadá. Él apareció por primera vez en septiembre de 2015.
El archivo agregado a la lista de exclusión es un ejecutable llamado «Setup.exe», que es una utilidad de SyncFutureTec Company Limited y está diseñada para escribir «mysetup.exe» en el disco. Se considera que este último es SyncFuture TSM, una herramienta comercial con capacidades de administración y monitoreo remoto (RMM).
Al abusar de una oferta legítima, los actores de amenazas detrás de la campaña obtienen la capacidad de controlar de forma remota los puntos finales infectados, registrar las actividades de los usuarios y filtrar datos de interés. También se implementan después de la ejecución del ejecutable otros archivos:
- Scripts por lotes que crean directorios personalizados y modifican sus listas de control de acceso (ACL) para otorgar permisos a todos los usuarios.
- Scripts por lotes que manipulan los permisos de los usuarios en las carpetas del escritorio
- Un script por lotes realiza operaciones de limpieza y restauración.
- Un ejecutable llamado «MANC.exe» que organiza diferentes servicios y permite un registro extenso
«Les proporciona las herramientas no sólo para robar datos sino también para mantener un control granular sobre el entorno comprometido, monitorear la actividad del usuario en tiempo real y garantizar su propia persistencia», dijo eSentire. «Al combinar antianálisis, escalada de privilegios, descarga de DLL, reutilización de herramientas comerciales y evasión de software de seguridad, el actor de amenazas demuestra capacidad e intención».
Fuente