La campaña FakeSG, el ransomware Akira y el stealer para macOS AMOS

Introducción

El panorama del software delictivo es diverso. Los ciberdelincuentes distribuyen diversos tipos de malware diseñados para diferentes plataformas con la intención de aprovecharse de sus víctimas de todas las formas posibles.. En los últimos meses, hemos escrito informes privados sobre una amplia gama de temas, como un nuevo ransomware multiplataforma, los steales para macOS y las campañas de distribución de malware. En este artículo, compartimos extractos de nuestros informes sobre la campaña FakeSG, el ransomware Akira y el stealer AMOS.

Si desea conocer más sobre nuestro servicio de denuncia de programas delictivos, escríbanos a crimewareintel@kaspersky.com.

FakeSG

FakeSG es el nombre que hemos dado a una nueva campaña de distribución de NetSupport RAT. Elegimos este nombre porque emula la famosa campaña de distribución de SocGholish: infectan sitios web legítimos, lo que hace que aparezca en el sitio una notificación de que hay que instalar una actualización del navegador. La siguiente figura ilustra un ejemplo: si el usuario hace clic en la notificación, un archivo malicioso se descarga en su dispositivo. A medida que pasa el tiempo, los atacantes van cambiando la URL desde la que se descarga el malware para pasar más tiempo desapercibidos. Sin embargo, por alguna oscura razón, la ruta sigue siendo la misma (/cdn/wds.min.php).

Ejemplo de página de aterrizaje

El archivo que se descarga es en realidad un archivo JS, que contiene un código ofuscado. Cuando se ejecuta, carga otro script desde una ubicación remota, y configura una cookie. Por último, muestra una notificación que invita a actualizar el navegador y comienza a descargar otro script. Esta vez se trata de un script por lotes que, a su vez, descarga otro script por lotes, un archivo 7z y el ejecutable 7z.

El segundo script por lotes se encarga de la persistencia (creando una tarea programada con el nombre VCC_runner2), extrae y copia el malware, etc. Parte del archivo 7z es un archivo de configuración malicioso, que contiene la dirección del C2 (véase la figura siguiente).

Dirección C2

Akira

Akira es una variante de ransomware más o menos nueva (fue detectada por primera vez en abril de este año), escrita en C++ y compatible con entornos Windows y Linux. A pesar de ser relativamente nueva, los atacantes detrás de Akira son bastante activos, y se ha confirmado que han infectado a más de 60 organizaciones en todo el mundo. En cuanto a los objetivos, eligen grandes organizaciones de diversos sectores, como el comercio minorista, los bienes de consumo, la educación, etc.

En muchos aspectos, Akira no difiere de otras familias de ransomware: elimina las instantáneas (mediante una combinación de PowerShell y WMI); también cifra las unidades lógicas, omitiendo determinados tipos de archivos y directorios; existe un sitio de filtración/comunicación en TOR; etc.

Lo que la distingue son las similitudes con Conti. Por ejemplo, la lista de carpetas que deben excluirse del proceso de cifrado es idéntica. Esto incluye la carpeta “winnt”, que sólo está presente en Windows 2000. Otra similitud es la función de ofuscación de cadenas que utiliza.

Algo que diferencia a un grupo de otro es su panel C2. Durante nuestras investigaciones y nuestro trabajo conjunto con las fuerzas policiales de todo el mundo, nos encontramos con muchos diferentes tipos de paneles C2. Sin embargo, el sitio de comunicación de Akira es algo diferente. Utilizando la biblioteca JQuery Terminal, sus creadores desarrollaron un sitio minimalista de estilo antiguo. Para protegerlo, aplicaron algunas medidas de seguridad. Por ejemplo, al abrirse el sitio web utilizando un depurador en el navegador, se producirá una excepción que detendrá el análisis.

AMOS

Los stealers son cada vez más populares. Algunos stealers famosos, como Redline y Racoon, existen desde hace años. Otros surgieron más recientemente, como ya lo hemos comentado en algunas de nuestras anteriores entradas del blog. A principios de año vimos aparecer una serie de nuevos stealers para macOS (por ejemplo, XLoader, MacStealer y Atomic MacOS, también conocido como AMOS).

AMOS fue descubierto en abril de 2023, cuando se lo vendió a ciberdelincuentes a través de Telegram por 1000 dólares al mes. La versión inicial escrita en Go, tenía funciones típicas de los stealers, como robar contraseñas, archivos, datos del navegador, etc. También creaba falsas solicitudes de contraseñas en un intento de obtener la contraseña del sistema.

En la nueva versión han cambiado un par de cosas, siendo la más notable el lenguaje de programación: AMOS está ahora escrito en C en lugar de Go. También pudimos determinar el vector de infección: el malvertising. Al igual que en las campañas de Redline y Rhadamantys, se clonan sitios de software populares y se induce a los usuarios a descargar el malware. El archivo que se descarga es un archivo DMG que, al abrirse, contiene instrucciones sobre cómo instalar el malware, como puede verse en la siguiente figura.

Instrucciones de instalación del malware

Lo primero que hace el malware es obtener el nombre de usuario y comprobar si la contraseña está en blanco (o no se requiere contraseña). Si se requiere una contraseña y el usuario no ha iniciado sesión, usando osascript crea una ventana emergente, que pide la contraseña. Una vez configurado todo, se recopilan los siguientes datos:

• base de datos de Notes;
• documentos del escritorio y de la carpeta Documentos;
• datos relacionados con el navegador (cookies, datos de inicio de sesión, etc.) de navegadores como Chrome y Edge;
• monederos de criptomonedas (por ejemplo, Binance, Exodus)
• datos de mensajería instantánea (por ejemplo, Telegram, Discord)

Los datos se comprimen utilizando la biblioteca “miniz” y se envían al C2 a través de HTTP. Parte de la solicitud es el UUID, que identifica la campaña o el comprador del malware.

En cuanto a la victimología, detectamos infecciones en todo el mundo, siendo Rusia y Brasil los países más afectados.

Si desea estar siempre al día sobre las últimas TTP utilizadas por los delincuentes, o tiene alguna pregunta sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.

Indicadores de compromiso

NetSupportManagerRAT
C60AC6A6E6E582AB0ECB1FDBD607705B

Akira
00141f86063092192baf046fd998a2d1
0885b3153e61caa56117770247be0444
2cda932f5a9dafb0a328d0f9788bd89c

AMOS
3d13fae5e5febfa2833ce89ea1446607e8282a2699aafd3c8416ed085266e06f
9bf7692f8da52c3707447deb345b5645050de16acf917ae3ba325ea4e5913b37