Hackers impulsan payloads de malware USB a través de sitios legítimos

Iniciado por AXCESS, Febrero 01, 2024, 12:28:51 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 01, 2024, 12:28:51 AM Ultima modificación: Febrero 01, 2024, 12:33:29 AM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se descubrió que un actor de amenazas con motivación financiera que utilizaba dispositivos USB para la infección inicial, abusaba de plataformas en línea legítimas, incluidas GitHub, Vimeo y Ars Technica, para alojar cargas útiles codificadas, incrustadas en contenido aparentemente benigno.

Los atacantes ocultan estas cargas útiles a plena vista, colocándolas en perfiles de usuarios de foros en sitios de noticias tecnológicas o descripciones de videos en plataformas de alojamiento de medios.

Estas cargas útiles no suponen ningún riesgo para los usuarios que visitan estas páginas web, ya que son simplemente cadenas de texto. Sin embargo, cuando se integran en la cadena de ataque de la campaña, son fundamentales para descargar y ejecutar malware en los ataques.

Mandiant rastrea a los piratas informáticos responsables de esta campaña como UNC4990 y han estado activos desde 2020, apuntando principalmente a usuarios en Italia.

Alojamiento de carga útil (payloads) involuntario

El ataque comienza cuando las víctimas hacen doble clic en un archivo de acceso directo LNK malicioso en una unidad USB. No se sabe cómo los dispositivos USB maliciosos llegan a las víctimas para iniciar la cadena de ataque.

Cuando se inicia el acceso directo, ejecuta un script de PowerShell explorer.ps1, que a su vez descarga una carga útil intermedia que decodifica una URL utilizada para descargar e instalar el descargador de malware llamado 'EMPTYSPACE'.

Estas cargas útiles intermedias son cadenas de texto que se decodifican en una URL para descargar la siguiente carga útil: EMPTYSPACE.

UNC4990 ha probado varios enfoques para alojar cargas útiles intermedias, inicialmente usando archivos de texto codificados en GitHub y GitLab y luego cambiando a abusar de Vimeo y Ars Technica para alojar cargas útiles de cadenas codificadas en Base64 y cifradas con AES.

Mandiant señala que los atacantes no explotan una vulnerabilidad en estos sitios, sino que simplemente emplean características habituales del sitio, como una página Acerca de en un perfil del foro Ars Technica o una descripción de video de Vimeo, para alojar de manera encubierta la carga útil ofuscada sin levantar sospechas.

Vídeo de Vimeo que oculta código malicioso en la descripción
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, estas cargas útiles no amenazan directamente a los visitantes de los sitios abusados, ya que son simplemente cadenas de texto inofensivas, y todos los casos documentados por Mandiant ahora han sido eliminados de las plataformas intermediarias afectadas.

La ventaja de alojar las cargas útiles en plataformas legítimas y de buena reputación es que los sistemas de seguridad confían en ellas, lo que reduce la probabilidad de que sean marcadas como sospechosas.

Además, los actores de amenazas se benefician de las sólidas redes de entrega de contenido de esas plataformas y disfrutan de resiliencia ante las eliminaciones.

Incrustar las cargas útiles en contenido legítimo y mezclarlo con grandes volúmenes de tráfico legítimo hace que sea más difícil identificar y eliminar el código malicioso.

Incluso entonces, los atacantes podrían fácilmente reintroducirlo en una plataforma diferente que admita comentarios o perfiles visibles públicamente.

Cadena de ataque completa UNC4990
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cargando QUIETBOARD

El script de PowerShell decodifica, descifra y ejecuta la carga útil intermedia obtenida de los sitios legítimos y coloca EMPTYSPACE en el sistema infectado, que establece comunicación con el servidor de comando y control (C2) de la campaña.

Evolución del script de PowerShell
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En las fases posteriores del ataque, EMPTYSPACE descarga una puerta trasera llamada 'QUIETBOARD', así como mineros de criptomonedas que extraen Monero, Ethereum, Dogecoin y Bitcoin.

Las direcciones de billetera vinculadas a esta campaña han obtenido ganancias que superan los 55.000 dólares, sin contar Monero, que está oculto.

QUIETBOARD es una puerta trasera sofisticada de múltiples componentes utilizada por UNC4990, que ofrece una amplia gama de capacidades, que incluyen:

    Ejecutar comandos o scripts recibidos del servidor C2

    Ejecutando código Python recibido del C2

    Alteración del contenido del portapapeles para el robo de criptomonedas

    Infectar unidades USB/extraíbles para propagar malware en otros sistemas

    Tomar capturas de pantalla para robar información

    Recopilación de información detallada del sistema y de la red
    Determinar la ubicación geográfica del sistema infectado


QUIETBOARD también establece persistencia entre reinicios del sistema y admite la adición dinámica de nuevas funcionalidades a través de módulos adicionales.

Mandiant concluye subrayando cómo a UNC4990 le gusta realizar experimentos con sus campañas para descubrir vías óptimas para su cadena de ataque y perfeccionar sus metodologías.

A pesar de las medidas de prevención aparentemente sencillas, el malware basado en USB sigue representando una amenaza importante y sirve a los ciberdelincuentes como un medio de propagación eficaz.

En cuanto a la táctica de abusar de sitios legítimos para colocar cargas útiles intermedias, esto muestra que las amenazas pueden acechar en lugares inesperados y aparentemente inofensivos, desafiando los paradigmas de seguridad convencionales.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario