Antiguo bypass de UAC de Windows utilizado para distribuir malware

Una nueva campaña de phishing se dirige a organizaciones en países de Europa del Este con el malware Remcos RAT con la ayuda de un antiguo bypass de Control de cuentas de usuario de Windows descubierto hace más de dos años.

El uso de directorios de confianza simulados para eludir el Control de cuentas de usuario de Windows se destaca en el ataque, ya que se conoce desde 2020, pero sigue siendo efectivo hoy en día.

La última campaña de Remcos fue observada y analizada por investigadores de SentinelOne, quienes documentaron sus hallazgos en un informe publicado hoy.

Comienza con una factura falsa
Los correos electrónicos de la campaña de phishing se envían desde dominios de nivel superior que coinciden con el país del destinatario y, por lo general, se enmascaran como facturas, documentos de licitación y otros documentos financieros.

Los correos electrónicos no contienen mucho texto aparte de lo que se requiere para dirigir la atención del destinatario al archivo adjunto, un archivo tar.lz que contiene el ejecutable DBatLoader.


Una elección tan inusual del formato de archivo reduce las posibilidades de que las víctimas abran con éxito el archivo adjunto, pero también ayuda a evadir la detección del software antivirus y las herramientas de seguridad del correo electrónico.

La carga útil de la primera etapa del cargador de malware se disfraza como un documento de Microsoft Office, LibreOffice o PDF utilizando extensiones dobles e iconos de aplicaciones para engañar a la víctima para que lo abra.

Al iniciar el cargador de malware, se obtiene una carga útil de segunda etapa de un servicio de nube pública, como Microsoft OneDrive o Google Drive.

Sentinel One informa que en un caso, se abusó del servicio en la nube para alojar DBatLoader durante más de un mes, aunque no está claro si los actores de amenazas usaron su propia cuenta o una cuenta comprometida con un historial limpio.

Abusar de carpetas "de confianza" simuladas

Antes de cargar Remcos RAT, DBatLoader crea y ejecuta un script por lotes de Windows para abusar de un método de omisión de UAC de Windows documentado en 2020.

El método, demostrado por primera vez en Windows 10 por el investigador de seguridad Daniel Gebert, implica el uso de una combinación de secuestro de DLL y directorios de confianza simulados para omitir UAC y ejecutar código malicioso sin preguntar al usuario.

Windows UAC es un mecanismo de protección que Microsoft introdujo en Windows Vista, pidiendo a los usuarios que confirmen la ejecución de aplicaciones de alto riesgo.

Windows confía en algunas carpetas, como C:\Windows\System32\, lo que permite que los ejecutables se eleven automáticamente sin mostrar un mensaje de UAC.

Un directorio simulado es un directorio de imitación con un espacio final. Por ejemplo, "C:\Windows\System32" es una carpeta legítima y se considera una ubicación de confianza en Windows. Un directorio simulado se vería como "C:\Windows \System32", con un espacio adicional después de C:\Windows\.

El problema es que algunos programas de Windows, como el Explorador de archivos, tratan "C:\Windows" y "C:\Windows" como la misma carpeta, engañando así al sistema operativo para que piense que C:\Windows\System32 es una carpeta de confianza y debería tener sus archivos auto-elevados sin un mensaje de UAC.

El script utilizado por DBatLoader, en este caso, crea directorios de confianza simulados de la misma manera, creando una carpeta "C:\Windows \System32" y copiando ejecutables legítimos ("easinvoker.exe") y archivos DLL maliciosos ("netutils.dll").


"easinvoker.exe es susceptible al secuestro de DLL que permite la ejecución de netutils maliciosos.dll en su contexto", explica Sentinel One

"easinvoker.exe es un ejecutable autoelevado, lo que significa que Windows eleva automáticamente este proceso sin emitir un mensaje de UAC si se encuentra en un directorio de confianza: el directorio simulado %SystemRoot%\System32 garantiza que se cumplan estos criterios".

El cargador de malware agrega el script malicioso ("KDECO.bat") que se oculta en la DLL a la lista de exclusión de Defender de Microsoft y luego establece la persistencia para Remcos creando una nueva clave de registro.

Eventualmente, Remcos se ejecuta a través de la inyección de procesos, configurada con capacidades de registro de teclas y captura de pantalla.


Sentinel One sugiere que los administradores del sistema configuren Windows UAC para "Notificar siempre", aunque esto podría ser demasiado obstructivo y ruidoso.

Los administradores también deben supervisar la creación de archivos sospechosos o las ejecuciones de procesos en rutas de sistemas de archivos de confianza con espacios finales, especialmente carpetas que contengan la cadena "\Windows".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta