Métodos inusuales de infección y propagación de malware

Introducción

A menudo nos preguntan cómo los equipos se llegan a infectar con malware. Nuestra respuesta es casi siempre la misma: a través del (spear) phishing. Pero por supuesto, hay excepciones. De tanto en tanto encontramos vulnerabilidades RCE y cuando el atacante ya está dentro de la red, suele utilizar herramientas como PsExec. Pero eso es todo. La mayoría de las veces.

El mes pasado, nos centramos en los métodos de infección de diferentes campañas de malware. Son métodos que no vemos a menudo. En esta entrada del blog, ofrecemos extractos de esos informes.

Si tiene preguntas o desea más información sobre nuestro servicio de denuncia de crimeware, escríbanos a crimewareintel@kaspersky.com

BlackBasta: nuevo método de propagación

Hace poco, BlackBasta, el célebre ransomware que analizamos en una publicación anterior, recibió una actualización. Ahora tiene un segundo parámetro opcional en la línea de comandos: “-bomb”.

Cuando se utiliza este parámetro, el malware hace lo siguiente:

1. Se conecta al AD utilizando la biblioteca LDAP y obtiene una lista de equipos en la red;
2. Utilizando esta lista, copia el malware al equipo de destino;
3. Utilizando el Modelo de objetos de componentes (COM), ejecuta el malware de forma remota en el equipo.

Fragmento de código que muestra la funcionalidad de LDAP

La ventaja de utilizar un método de propagación incorporado es que deja menos rastros en el sistema y es más sigiloso que utilizar herramientas públicas. Por ejemplo, una de las herramientas favoritas de los atacantes, PsExec, es fácil de detectar en la red. Esto da a los defensores de la red menos posibilidades de detectar la actividad maliciosa.

CLoader: infección a través de torrents maliciosos

Los ciberdelincuentes no suelen utilizar torrents maliciosos para infectar a sus objetivos. Sin embargo, CLoader demuestra que este método de infección no debe ser descartado.

CLoader fue descubierto en abril de 2022. Utilizaba juegos y programas crackeados como cebo para engañar a los usuarios y hacer que instalaran el malware. Los archivos descargados eran instaladores de NSIS y contenían código malicioso en el script de instalación.

El script malicioso. Las partes en rojo indican el sector de descarga del malware

En total observamos que se descargaron seis cargas útiles diferentes:

• El proxy malicioso Microleaves: funciona como un proxy en el equipo infectado;
• El proxy malicioso Paybiz: funciona como un proxy en el equipo infectado;
• El descargador MediaCapital: puede instalar malware adicional en el sistema;
• El descargador CSDI: puede instalar malware adicional en el sistema;
• El descargador Hostwin64: puede instalar malware adicional en el sistema;
• El backdoor Inlog: instala la aplicación legítima NetSupport para el acceso remoto al equipo.

Al ver los objetivos de los ataques, notamos que se infectaron equipos de usuarios en todo el mundo, pero sobre todo en Estados Unidos, Brasil e India.

OnionPoison: infecciones por un falso TOR Browser

En agosto de 2022, descubrimos una campaña que está activa al menos desde enero de 2022 y que se centra en personas de habla china. En un popular canal de YouTube en chino, dedicado al anonimato en Internet, los delincuentes subieron un vídeo con instrucciones para instalar Tor Browser. Esto en sí no es tan extraño ya que Tor Browser está bloqueado en China. Sin embargo, al hacer clic en el enlace de la descripción, se descarga una versión infectada del navegador Tor Browser.

La versión infectada es casi idéntica a la original, así que el usuario no nota ninguna diferencia. Las diferencias con la versión original son:

• El instalador no tiene firma digital;
• Una de las DLLs que viene con la versión original (freebl3.dll) es completamente diferente, ya que contiene el código con el backdoor;
• Se incluye un nuevo archivo (freebl.dll) que es igual que el original freebl3.dll;
• El binario de Firefox que viene incluido con TOR difiere en un byte del original, por un símbolo en la URL que se utiliza para las actualizaciones. De este modo, los atacantes impiden que el navegador se actualice a sí mismo;
• El archivo de configuración del navegador se modifica para proporcionar menos anonimato. Por ejemplo, el historial de navegación se almacena ahora en el disco.

La funcionalidad de Freebl3.dll es bastante simple. Remite toda la funcionalidad a la DLL original y también descarga una DLL adicional del servidor de administración.

La DLL descargada contiene la mayor parte de la funcionalidad maliciosa. Puede (entre otras funcionalidades):

• ejecutar comandos en el sistema;
• enviar el historial del navegador TOR al servidor de administración;
• enviar los id. de las cuentas de WeChat y QQ de la víctima al servidor de administración.

AdvancedIPSpyware: herramienta benigna firmada y con un backdoor

Una técnica que encontramos con frecuencia es la de añadir código malicioso a software benigno para engañar al usuario y ocultar la actividad maliciosa. Lo que no vemos tan seguido es que el binario de respaldo tenga una firma real. Este es precisamente el caso de AdvancedIPSpyware, que es una versión de la herramienta legítima Advanced IP Scanner, utilizada por los administradores de redes para controlar las LAN, pero que viene con un backdoor. Lo más probable es que el certificado con el que se firmó el malware sea robado. El malware estaba alojado en dos sitios, cuyos dominios son casi idénticos al sitio web legítimo de Advanced IP Scanner, y se diferenciaban por solo una letra. Además, los sitios web son idénticos al original. La única diferencia es el botón de “descarga gratuita” en los sitios web maliciosos.

El binario con firma legítima frente al binario con firma maliciosa

Otra característica poco común de AdvancedIPSpyware es que su arquitectura es modular. Por lo general, se la arquitectura modular se usa en los programas maliciosos que tienen financiamiento estatal, pero no en el malware delictivo. Observamos los siguientes tres módulos que se comunican entre sí a través de IPC:

• Módulo principal: actualiza, elimina o crea otra instancia;
• Módulo de ejecución de comandos: funcionalidades típicas del spyware, recopilación de información, ejecución de comandos, etc;
• Módulo de comunicación de red: se encarga de todas las funciones relacionadas con la red (mensajes de latido, etc.).

La campaña AdvancedIPSpyware tiene una amplia gama de víctimas. Hemos detectado varias víctimas en América Latina, África, Europa Occidental, el sur de Asia y Australia, así como en los países de la CEI. El recuento global de víctimas infectadas en el transcurso de la campaña se acerca a las 80.

Conclusiones

Aunque los actores maliciosos confían en el correo electrónico como principal vector de infección, no hay que descartar otros métodos. Los nombres de dominio escritos con errores imperceptibles y el software crackeado que se descarga a través de torrents son sólo algunos de los trucos alternativos que se utilizan para atraer a las víctimas y hacer que instalen malware en sus sistemas.

Por su parte, los desarrolladores de ransomware siguen actualizando su malware. En esta ocasión, BlackBasta ha añadido una funcionalidad que dificulta la detección y el análisis forense, ya que ahora el malware puede propagarse a través de la red en sí.

Si quiere estar al día de las últimas TTP utilizadas por los delincuentes o tiene preguntas sobre nuestros informes privados, escríbanos a crimewareintel@kaspersky.com.