Métodos inusuales de infección – parte 2

Introducción

Si bien el ransomware sigue siendo un tema candente sobre el que seguiremos publicando, también nos dedicamos a investigar y publicar otras amenazas. Recientemente exploramos el tema de los métodos de infección, incluyendo malvertising, descargas maliciosas, y otros. En este artículo ofrecemos extractos de los informes recientes que se enfocan en métodos inusuales de infección y describen el malware asociado.

Si tiene preguntas o desea más información sobre nuestro servicio de denuncia de delitos, escríbanos a crimewareintel@kaspersky.com.

RapperBot: “fuerza bruta inteligente”

RapperBot, basado en Mirai (pero con un protocolo de comando C2 diferente), es un gusano que infecta dispositivos IoT con el objetivo final de lanzar ataques DDoS contra objetivos no HTTP. Observamos la primera muestra en junio de 2022, cuando su objetivo eran los servicios SSH y no Telnet. La última versión, sin embargo, eliminó la parte de la funcionalidad SSH y ahora se centra exclusivamente en Telnet, con bastante éxito. En el cuarto trimestre de 2022 observamos 112 000 intentos de infección de RapperBot, procedentes de más de 2000 direcciones IP únicas.

Lo que diferencia a RapperBot de otros gusanos es su forma “inteligente” de aplicar la fuerza bruta: comprueba la solicitud y, basándose en ella, selecciona las credenciales adecuadas. Este método acelera notablemente el proceso de fuerza bruta, ya que no tiene que probar una enorme lista de credenciales.

RapperBot determina entonces la arquitectura del procesador e infecta el dispositivo. La descarga del malware propiamente dicha se realiza mediante diversos comandos posibles (por ejemplo, wget, curl, tftp y ftpget). Si por alguna razón estos métodos no funcionaran, entonces se carga un descargador de malware en el dispositivo a través de los comandos “echo” del shell.

Rhadamanthys: publicidad maliciosa en sitios web y motores de búsqueda

Rhadamanthys es un nuevo ladrón de información presentado por primera vez en un foro de ciberdelincuentes de habla rusa en septiembre de 2022 y ofrecido como plataforma MaaS. Según el autor, el malware:

• está escrito en C/C++ mientras que el C2 está escrito en Golang;
• es capaz de hacer una infección “sigilosa”;
• es capaz de robar/recopilar información sobre el tipo de CPU, resolución de pantalla, monederos soportados, etc.;
• evade EDR/AV;
• tiene comunicación encriptada con el C2.

A pesar de que el malware se anunciaba ya en septiembre de 2022, empezamos a detectar las primeras muestras a principios de 2023. Aunque Rhadamanthys utilizaba inicialmente el phishing y el spam como vector de infección, el método más reciente es el malvertising.

Las plataformas de publicidad en línea ofrecen a los anunciantes la posibilidad de pujar para mostrar anuncios breves en motores de búsqueda como Google, pero también en sitios web, aplicaciones móviles, etc. Rhadamanthys utiliza plataformas publicitarias basadas tanto en motores de búsqueda como en sitios web. El truco que utilizan consiste en mostrar anuncios que representan aplicaciones legítimas, pero que en realidad contienen enlaces a sitios web de phishing. Estos sitios web de phishing contienen instaladores falsos que inducen a los usuarios a descargar e instalar el malware.

Al analizar Rhadamanthys, observamos una fuerte conexión con el criptominero Hidden Bee. Ambas muestras utilizan imágenes para ocultar el payload en su interior y ambas tienen shellcodes similares para el bootstrapping. Además, ambos utilizan “sistemas de archivos virtuales en memoria” y emplean Lua para cargar plugins y módulos.

Comparación entre los módulos “prepare.bin” de Rhandamanthys y “preload” de Hidden Bee

CUEMiner: distribución a través de BitTorrent y OneDrive

En agosto de 2021 se inició un proyecto en GitHub llamado SilentCryptoMiner, que aloja al criptominero compuesto por un descargador y la carga útil, el código fuente del bot y el constructor compilado, así como software adicional, como un vigilante (watcher) del sistema. Se ha actualizado constantemente, y la última actualización se remonta al 31 de octubre de 2022. El repositorio es popular entre los ciberdelincuentes, como ilustra el enorme número de muestras que detectamos que presentaban muchos pequeños cambios y se combinaban con las diferentes URL y TTP, lo que deja claro que el malware es utilizado simultáneamente y de varias formas por múltiples grupos.

Durante nuestra investigación observamos dos métodos de propagación del malware. La primera es a través de software crackeado y troyanizado descargado a través de BitTorrent. El otro método es a través de software crackeado y troyanizado que se descarga de las redes de intercambio de OneDrive. Sólo podemos especular sobre cómo se induce a las víctimas a que descargar estos paquetes crackeados, ya que no hemos podido encontrar ningún enlace directo. Sin embargo, hoy en día muchos sitios dedicados al crack no ofrecen descargas inmediatas. En su lugar, remiten a los canales del servidor Discord para seguir la discusión. Esto sugiere alguna forma de interacción humana e ingeniería social.

El descargador está escrito en .NET y se llama CUEMiner. A pesar de estar escrito en .NET, está envuelto por un dropper basado en C++ y se conecta a un conjunto de URLs, que varían de muestra a muestra, para descargar el criptominero y los ajustes de configuración. También realiza varias comprobaciones para asegurarse de que se está ejecutando en sistemas de hardware real, y no en una máquina virtual. En caso de que se superen todas las comprobaciones, el malware:

• Reconfigura Windows Defender para excluir del análisis la ruta del perfil de usuario y toda la unidad del sistema;
• Obtiene los detalles de configuración de una URL codificada y los guarda en diferentes lugares (por ejemplo, c:\logs.uce, %localappdata%\logs.uce);
• Crea archivos y subdirectorios vacíos en %ProgramData%\HostData para que el directorio tenga un aspecto benigno;
• Descarga el criptominero y el vigilante;
• Hace muchas otras cosas. Consulte la lista completa en nuestro informe privado.

El vigilante, como su nombre indica, se encarga de supervisar el sistema. Si no detecta ningún proceso que consuma mucha energía del sistema (por ejemplo, juegos), se lanza el software del criptominero. Cuando se inicia un proceso pesado, como un juego, el criptominero se interrumpe y sólo vuelve a arrancar cuando dicho proceso se detiene. De esta manera logra permanecer más tiempo en el sistema sin ser detectado.

Conclusiones

Los ciberdelincuentes menos cualificados suelen utilizar malware de código abierto. A menudo carecen de los conocimientos y contactos necesarios para llevar a cabo campañas masivas. No obstante, pueden seguir siendo bastante activos y eficaces, como demuestra el enorme número de muestras de CUEMiner que hemos detectado. Si a lo largo de su carrera como ciberdelincuentes adquieren más habilidades, como programar y comprender mejor la seguridad, a menudo reutilizan y mejoran partes cruciales del código fuente del malware de código abierto.

La reutilización del código y el cambio de marca también son utilizados con bastante frecuencia por los ciberdelincuentes. Hay muchas variantes de ransomware que cambian de nombre con el tiempo, aunque en su mayoría contienen la misma base de código. En otros casos, los ciberdelincuentes reutilizan partes del código en nuevas campañas. Por ejemplo, el ladrón Rhadamantys presenta algunos solapamientos de código con el malware Hidden Bee. Esto sugiere que en la campaña de Rhadamantys participó por lo menos una persona que también participó en el desarrollo de Hidden Bee.

Para protegerse contra estas amenazas, pueden ser de gran ayuda los informes de inteligencia. Si quiere estar al día de las últimas TTP utilizadas por los delincuentes o tiene preguntas sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.