Campaña de malware explota la API Graph de Microsoft para infectar Windows

Iniciado por AXCESS, Marzo 03, 2025, 06:43:03 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 03, 2025, 06:43:03 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva campaña de ciberataque descubierta por FortiGuard Labs, la unidad de inteligencia e investigación de amenazas de Fortinet, aprovecha una combinación de ingeniería social, malware de múltiples etapas y la manipulación de servicios de nube confiables para lograr el control sobre los sistemas comprometidos.

Según la investigación de FortiGuard, la campaña se dirige a los usuarios de Microsoft Windows y tiene un alto nivel de gravedad. Su observación más crucial es que los atacantes han innovado al integrar una versión modificada del marco Havoc, Havoc Demon Agent, con la API Microsoft Graph, ocultando eficazmente sus comunicaciones maliciosas dentro del tráfico legítimo de servicios de nube conocidos.

Para su información, Havoc es un marco de comando y control de post-explotación de código abierto utilizado en ejercicios de equipos rojos y campañas de ataque para obtener el control total del sistema objetivo.

El punto de entrada inicial para este ataque es un correo electrónico de phishing cuidadosamente elaborado, que contiene un archivo adjunto HTML diseñado para engañar al destinatario para que ejecute un comando PowerShell malicioso.

Mediante una técnica conocida como "ClickFix", en la que se engaña a los usuarios para que ejecuten comandos maliciosos, el archivo adjunto presenta un mensaje de error falso, que solicita al destinatario que copie y pegue un comando aparentemente inofensivo en la terminal de su sistema. Sin embargo, este comando inicia una cadena de eventos que conduce a la descarga/ejecución de más scripts maliciosos, que se alojan estratégicamente en un sitio de SharePoint, probablemente para ocultar la operación maliciosa dentro de un entorno de nube confiable.

El script de PowerShell inicial realiza comprobaciones para evadir la detección de sandbox y luego procede a descargar/ejecutar un script de Python, también alojado en SharePoint. Este script de Python actúa como un cargador de shellcode e inyecta y ejecuta una DLL maliciosa, KaynLdr, que carga de forma reflexiva una DLL incrustada y complica aún más el análisis mediante el uso de hash de API.

El núcleo de la infraestructura C2 del atacante se basa en la versión modificada de la DLL Havoc Demon, ya que aprovecha la API de Microsoft Graph para establecer canales de comunicación que se combinan a la perfección con el tráfico legítimo de la nube. La función "SharePointC2Init" dentro de la DLL obtiene tokens de acceso para la API de Microsoft Graph y crea dos archivos dentro de la biblioteca de documentos de SharePoint de la víctima, cada uno nombrado con un identificador único derivado del sistema comprometido.

Estos archivos actúan como canales para transmitir información de la víctima y recibir comandos C2, mientras que toda la comunicación es manejada por la función modificada "TransportSend" y cifrada usando AES-256 en modo CTR. Luego, el agente analiza y ejecuta estos comandos, que incluyen una amplia gama de capacidades posteriores a la explotación, como recopilación de información, operaciones de archivos y manipulación de tokens.


El descubrimiento de FortiGuard Labs destaca la evolución de los marcos C2 de código abierto para crear nuevos ataques difíciles de detectar y la creciente necesidad de adoptar medidas de seguridad avanzadas contra dichos ataques.

"Además de mantenerse alerta ante los correos electrónicos de phishing, los mensajes guiados que alientan a abrir una terminal o PowerShell deben manejarse con especial precaución para evitar la descarga y ejecución inadvertida de comandos maliciosos", concluyeron los investigadores de FortiGuard.

Flujo del Ataque:


En un comentario, Thomas Richards, consultor principal y director de prácticas de redes y equipos rojos de Black Duck, un proveedor de seguridad de aplicaciones con sede en Burlington, Massachusetts, señaló que los piratas informáticos están utilizando servicios confiables de Microsoft para evadir la detección, lo que demuestra un alto nivel de sofisticación, pero lo que se destaca es que su método de ataque requiere más acción manual de la víctima de lo habitual.

"Estos grupos de actores maliciosos buscan la ofuscación para poder lograr sus objetivos. No es inusual verlos usar marcos de código abierto, sin embargo, el uso de servicios legítimos de Microsoft muestra un nivel de sofisticación que es preocupante. El uso de esos servicios les permite ocultarse a simple vista y tener los beneficios de ser servidores confiables", explicó Thomas. "Lo sorprendente de esto es el nivel de intervención manual necesario en la víctima para que el ataque sea un éxito. Por lo general, con estas campañas, los actores maliciosos quieren la menor interacción posible por parte de la víctima, aparte de hacer clic en un enlace".

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario